Имеется локальная сеть (192.168.0.0/22), в ее состав входит сервер подключенный к интернету. На сервере настроены некоторое количество сервисов "смотрящие" во внешнюю сеть.
Нужно потестировать сервисы с компьютера в локальной сети имитируя подключение из вне.
Настроил виртуальную машину, для нее настроил виртуальную сеть (10.10.10.0/24) и NAT'ом выдал интернет. Но теперь виртуальной машине помимо интернета доступна и локальная сеть (192.168.0.0/22), что не приемлемо для тестирования (например при проверке VPN туннеля).
Собственно вопрос в том, как дать ВМ доступ в интернет и не дать доступ к локальной сети, тем самым имитируя подключение из вне.
Спасибо.
UPD:
Хост система - Debian Sid (64), настройка виртуальных машин с помощью Virt-Manager, система на виртуалке - Windows XP (32).
Выводить bridge-интерфейс, к которому закреплена виртуалка, в отдельный VLAN. Соответственно тегированный трафик будет отделен от основного.
Конструкция примерно такая: ВМ → bridge_vlan101 ← ethX.vlan101 ← ethX Настройка мостов
У меня сейчас виртуалка и так находится в изолированной сети (10.10.10.0/24) в которой есть типа роутер. И этот роутер NAT'ом раздает интернет для сети (10.10.10.0/24). Но NAT'ом же дает доступ и к сети (192.168.0.0/22), чего мне собственно и нужно упразднить.
Средствами Virt-Manager можно создать виртуальную сеть c NAT'ом в физическую. Виртуалки будут получать по DHCP и свои IP и IP шлюза (тоже Virt-Manager сам рулит). Получается типа роутер.
Sinot: внезапно, заменяете в моем ответе "bridge_vlan101" на br0 и ничего не меняется.
Из-за того, что виртуалка транслируется на общих основаниях, её трафик маршрутизируется по таблице хоста, т.е. ей доступна подсеть 192.168.0.0/22, для этого VLAN-ы и нужны.
chupasaurus: Ну хорошо, куда Вы мне предлагаете тянуть VLAN? Шлюз для сети 192.168.0.0/22 перенастраивать нельзя.
В итоге у меня получиться дать доступ виртуальной сети к физической среде локальной сети, но она будет от нее изолированна VLAN'ами. И шлюз, раздающий интернет, тоже не доступен.
создать внутренню сеть, туда подключить все виртуалки.
создать еще один виртуальник, подключенный и к внешней сети и к внутренней, который будет играть роль роутера между ними. В впн играться на нем и все такое.
У мня, к сожалению, нет возможности заиметь отдельный внешний канал для тестов (тогда бы я вообще тут вопросов не задавал).
Виртуалки и так в изолированной сети (10.10.10.0/24), но интернет туда раздается NAT'ом из сети (192.168.0.0/22), поэтому и она тоже доступна в изолированной.
Вопрос в том как изолированной сети дать интернет, но не дать доступа к (192.168.0.0/22)?
отключить NAT в изолированной сети или создать сеть без NAT связок.
Имхо в каждой виртуальной системе есть возможность создания полностью изолированной сети внутри нее.
и для связи создать отдельную виртуалку с двумя портами, один в изолированную сеть, другую наружу.
В общем у меня так и сделано. Но допустим что нет.
Создаем изолированную виртуальную сеть, цепляем в нее ВМ. Одну ВМ используем как шлюз. И вот тут проблема о которой я и говорю.
другую наружу
Наружу куда? У меня нет еще одного внешнего канала связи. Есть только один, через шлюз его раздаю в 192.168.0.0/22. В этой сети есть хост машина с виртуалками. Для интернета в изолированной сети кроме NAT на ВМ-шлюзе ничего не придумал, но тогда из изолированной сети доступна 192.168.0.0/22.
Как в такой ситуаци им раздать интернет без доступа к 192.168.0.0/22?
под "наружей" я подразумеваю порт, связанный с внешним миром т.е. 192.168.0.0/22 второй порт этой вм смотрит в изолированную среду, которая живет в каких-нить 10.0.***** и т.д. и с наружкой напрямую никак не свзяана.
