Yoda 10 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 (bearbeitet) Hallo zusammen, ich müsste auf einem vSwitch Hyper-V 2012 R2 ARP Spoofing erlauben. Ich weiß, dass es eine Sicherheitslücke ist, aber wir brauchen es. Gefunden habe ich bis jetzt nur folgende Anleitung: http://blogs.technet.com/b/wincat/archive/2012/11/18/arp-spoofing-prevention-in-windows-server-2012-hyper-v.aspx Da geht aber leider nicht. Es muss auch am vSwitch liegen, denn wenn ich im gleich IP Subnet mit einem Linux Client teste funktioniert der Zugriff. Hintergund: Wir haben einen Linux LB mit einer VIP von einem anderen Netz. Die Realserver stehen aber im gleichen Netz wie die VMs. Gibts noch eine andere Möglichkeit ARP Spoofing zu erlauben? Gruß Yoda bearbeitet 3. Juli 2014 von Yoda Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 Hi, in dem Blogartikel wird nur beschrieben wie man das ARP Spoofing unterbindet. Standardmäßig ist dies nämlich im vSwitch erlaubt. Siehe hier: http://msandbu.wordpress.com/2013/04/03/arp-guard-in-hyper-v-2012/. Ansonsten zusätzlich mal das MAC Spoofing für die vNIC der VM erlauben. Zitieren Link zu diesem Kommentar
Yoda 10 Geschrieben 3. Juli 2014 Autor Melden Teilen Geschrieben 3. Juli 2014 Hi, danke für die Antwort. Ansonsten zusätzlich mal das MAC Spoofing für die vNIC der VM erlauben. Wenn du damit den Punkt "Enable MAC address spoofing" unter den Advanced Features in der vNIC meinst, dann ist das auch nicht die Lösung. Bekommen trotztdem keinen Ping zurück. Ping sollte gehen. Gibt keine Firewall dazwischen. Hab auch die Änderungen in dem von mir genannten Link wieder rückgängig gemacht. Hallo, Thema ist geklärt. Es lag noch am Linux LB. Dort musste noch eine Einstellung gemacht werden, um ARP Spoofing zu deaktiveren. Gruß Yoda Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 Welche Einstellung und welcher LB ist es denn? Könnte ja für den einen oder anderen interessant sein. :) Bye Norbert Zitieren Link zu diesem Kommentar
Yoda 10 Geschrieben 4. Juli 2014 Autor Melden Teilen Geschrieben 4. Juli 2014 Hi, gerne. Loadbalancer: Linux mit LVS Cluster IP auf bond0: 172.16.0.30 RealIPs Server über bond1: 172.17.0.8 - 12 Client IP über bond1: 172.17.0.40 Auf dem LB mussten folgende folgende Settings mit sysctl -w gestezt werden. net.ipv4.conf.all.rp_filter = 0net.ipv4.conf.default.rp_filter = 0net.ipv4.conf.lo.rp_filter = 0net.ipv4.conf.eth0.rp_filter = 0net.ipv4.conf.eth1.rp_filter = 0net.ipv4.conf.eth2.rp_filter = 0net.ipv4.conf.eth3.rp_filter = 0net.ipv4.conf.eth4.rp_filter = 0net.ipv4.conf.eth5.rp_filter = 0net.ipv4.conf.tunl0.rp_filter = 0net.ipv4.conf.bond0.rp_filter = 0net.ipv4.conf.bond1.rp_filter = 0 Damit haben wir dann das ARP Spoofing deaktiviert und der Client konnte über die Cluster IP mit den Real Server kommunizieren. Gruß Yoda Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.