На самом деле, 90% схемы – это перевод вики по ссылке. Но я не знаю немецкого, а гугл транслейт перевел ужасающе, так что я адаптировал на русский целиком, для полезности :)
VLAN'ы гляну, но меня эта схема, в принципе устроила.
С ipv6 – сейчас дописываю как прикрутить подсеть от того же HE (ибо хетзнер отдает неделимую /64).
PS: HE вроде в европе не дает пока /48 (хотя я только в двух локациях проверил)
в описанной выше конфигурации гейт не попадает в маску сети. В убунтовом инсталлере так сеть настроить нельзя (в генте инсталлера нет, она тремя командами ставится).
1) например запретить KVM1 и KVM2 ходить на KVM3:22, а KVM4 – разрешить
В принципе, если поставить некорректную маску, в которую попадет и гейтвей – то забутать можно. Ну или если инсталлер требует настроить сеть вручную. Или если это гента. Но в той же убунте сходу настроить сеть правильно не выйдет (ставлю через virt-install + vnc).
1) да, но как тогда разграничивать KVM<->KVM траффик?
2) так у меня и есть, здеть не описано, потому что приватная подсеть делается очевидными методами
NAT (и DHCP) здесь только по одной единственной причине: что бы забутать любую KVM без сконфигурированной сети. Всё.
У меня на хосте еще есть приватная сеть, и специфические полиси: кто с кем может общаться. Кроме того, коллега d1m вроде как подтвердил возможность виртуалкой захватить лишний ip, если все они толпой сидят в одном бридже. iptables на роутинг в одном br никак повлиять не может, насчет ebtables не уверен.
#244321 +(29836)- [X]
hey, if you type in your pw, it will show as stars
********* see!
hunter2
doesnt look like stars to me
*******
thats what I see
oh, really?
Absolutely
you can go hunter2 my hunter2-ing hunter2
haha, does that look funny to you?
lol, yes. See, when YOU type hunter2, it shows to us as *******
thats neat, I didnt know IRC did that
yep, no matter how many times you type hunter2, it will show to us as *******
awesome!
wait, how do you know my pw?
er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
oh, ok.
> неправда ваша. авахи анонсирует через mDNS любые адреса:
Да вообще через dns-sd можно аннонсировать любые адреса, в принципе то:
% ping Thunderlight.local
PING thunderlight.local (192.168.7.112): 56 data bytes
^^^ это был резолв айпада макбуком (по сути – и там и там bonjour). Насколько я помню, zeroconf и dns-sd здесь просто неплохо используют возможности друг друга.
Маководам на заметку: Ukelele поможет сделать аналогичную операцию. Или добавить в систему что-то вроде UkrainianPC (в дефолтной раскладке «i» и «и» расположены не так, как в windows).
www.exabyte.net/lambert/subnet/ipv6_subnet_masking.htm
Через NDP форвардить подсети, как минимум на линуксе, нельзя
VLAN'ы гляну, но меня эта схема, в принципе устроила.
С ipv6 – сейчас дописываю как прикрутить подсеть от того же HE (ибо хетзнер отдает неделимую /64).
PS: HE вроде в европе не дает пока /48 (хотя я только в двух локациях проверил)
В принципе, если поставить некорректную маску, в которую попадет и гейтвей – то забутать можно. Ну или если инсталлер требует настроить сеть вручную. Или если это гента. Но в той же убунте сходу настроить сеть правильно не выйдет (ставлю через virt-install + vnc).
2) так у меня и есть, здеть не описано, потому что приватная подсеть делается очевидными методами
NAT (и DHCP) здесь только по одной единственной причине: что бы забутать любую KVM без сконфигурированной сети. Всё.
Дать одной виртуалке пару ip по идее не проблемно, добавить -host маршрут на нужный бридж, а на виртуалке нацепить алиас на eth0.
#244321 +(29836)- [X]
hey, if you type in your pw, it will show as stars
********* see!
hunter2
doesnt look like stars to me
*******
thats what I see
oh, really?
Absolutely
you can go hunter2 my hunter2-ing hunter2
haha, does that look funny to you?
lol, yes. See, when YOU type hunter2, it shows to us as *******
thats neat, I didnt know IRC did that
yep, no matter how many times you type hunter2, it will show to us as *******
awesome!
wait, how do you know my pw?
er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
oh, ok.
Да вообще через dns-sd можно аннонсировать любые адреса, в принципе то:
^^^ это был резолв айпада макбуком (по сути – и там и там bonjour). Насколько я помню, zeroconf и dns-sd здесь просто неплохо используют возможности друг друга.