Yoda 10 Geschrieben 3. Juli 2014 Melden Geschrieben 3. Juli 2014 (bearbeitet) Hallo zusammen, ich müsste auf einem vSwitch Hyper-V 2012 R2 ARP Spoofing erlauben. Ich weiß, dass es eine Sicherheitslücke ist, aber wir brauchen es. Gefunden habe ich bis jetzt nur folgende Anleitung: http://blogs.technet.com/b/wincat/archive/2012/11/18/arp-spoofing-prevention-in-windows-server-2012-hyper-v.aspx Da geht aber leider nicht. Es muss auch am vSwitch liegen, denn wenn ich im gleich IP Subnet mit einem Linux Client teste funktioniert der Zugriff. Hintergund: Wir haben einen Linux LB mit einer VIP von einem anderen Netz. Die Realserver stehen aber im gleichen Netz wie die VMs. Gibts noch eine andere Möglichkeit ARP Spoofing zu erlauben? Gruß Yoda bearbeitet 3. Juli 2014 von Yoda
Necron 71 Geschrieben 3. Juli 2014 Melden Geschrieben 3. Juli 2014 Hi, in dem Blogartikel wird nur beschrieben wie man das ARP Spoofing unterbindet. Standardmäßig ist dies nämlich im vSwitch erlaubt. Siehe hier: http://msandbu.wordpress.com/2013/04/03/arp-guard-in-hyper-v-2012/. Ansonsten zusätzlich mal das MAC Spoofing für die vNIC der VM erlauben.
Yoda 10 Geschrieben 3. Juli 2014 Autor Melden Geschrieben 3. Juli 2014 Hi, danke für die Antwort. Ansonsten zusätzlich mal das MAC Spoofing für die vNIC der VM erlauben. Wenn du damit den Punkt "Enable MAC address spoofing" unter den Advanced Features in der vNIC meinst, dann ist das auch nicht die Lösung. Bekommen trotztdem keinen Ping zurück. Ping sollte gehen. Gibt keine Firewall dazwischen. Hab auch die Änderungen in dem von mir genannten Link wieder rückgängig gemacht. Hallo, Thema ist geklärt. Es lag noch am Linux LB. Dort musste noch eine Einstellung gemacht werden, um ARP Spoofing zu deaktiveren. Gruß Yoda
NorbertFe 2.277 Geschrieben 3. Juli 2014 Melden Geschrieben 3. Juli 2014 Welche Einstellung und welcher LB ist es denn? Könnte ja für den einen oder anderen interessant sein. :) Bye Norbert
Yoda 10 Geschrieben 4. Juli 2014 Autor Melden Geschrieben 4. Juli 2014 Hi, gerne. Loadbalancer: Linux mit LVS Cluster IP auf bond0: 172.16.0.30 RealIPs Server über bond1: 172.17.0.8 - 12 Client IP über bond1: 172.17.0.40 Auf dem LB mussten folgende folgende Settings mit sysctl -w gestezt werden. net.ipv4.conf.all.rp_filter = 0net.ipv4.conf.default.rp_filter = 0net.ipv4.conf.lo.rp_filter = 0net.ipv4.conf.eth0.rp_filter = 0net.ipv4.conf.eth1.rp_filter = 0net.ipv4.conf.eth2.rp_filter = 0net.ipv4.conf.eth3.rp_filter = 0net.ipv4.conf.eth4.rp_filter = 0net.ipv4.conf.eth5.rp_filter = 0net.ipv4.conf.tunl0.rp_filter = 0net.ipv4.conf.bond0.rp_filter = 0net.ipv4.conf.bond1.rp_filter = 0 Damit haben wir dann das ARP Spoofing deaktiviert und der Client konnte über die Cluster IP mit den Real Server kommunizieren. Gruß Yoda
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden