Solaris11 и сложная сеть: нет маршрутизации

Question

У меня есть один сервер с Solaris11.4, две сети, которые я использую для тестирования, обучения и т.д. У меня есть одна сеть, классическая 192.168.0.0/24 Но для виртуальных машин я хочу использовать другую сеть 10.2.0.0/24, поэтому я следую этой процедуре

а) Сначала я создаю мост с net1 и net0, в противном случае запуск net1 "отключен"

dladm create-bridge -l net0 -l net1 bridge1

б) Затем я настраиваю IPR4 адрес для Net1

ipadm create-ip net1
ipadm create-addr -T static -a 10.2.0.1 net1

ipadm и dladm сообщают об отсутствии ошибок

c) Затем я запускаю на сервере Solaris11 isc-dhcp и isc-dns. Все работает нормально, проверено, я могу разрешить внешние имена хостов и адрес назначения dhcp.

d) Я установил VirtualBox, машины с мостовой сетью указывают на net1

д) я настроил брандмауэр с нат

#Vars
ext_if="net0"
int_if="net1"
virt_if="vnic0"
ext_net="192.168.0.0/24"
int_net="10.2.0.0/24"
webports="{443, 80}"

##  make IP reassembly work
set reassemble yes no-df

## ignore loopback traffic
set skip on lo0

# block everything unless told otherwise
# and send TCP-RST/ICMP unreachable
# for every packet which gets blocked
block return in log all
pass out all

# accept incoming SSH connections
pass in proto tcp to any port 2122

# accept dhcp connections
pass in proto udp to any port 67:69
pass in proto tcp to any port 67:69

# accept dns connections
pass in proto udp to any port 53
pass in proto tcp to any port 53

# accept webeservers SSH connections
pass in proto tcp to $ext_if port 8888:8889
pass in proto tcp to $ext_if port $webports

# accept icmp
pass in proto icmp all

## allow all connections initiated from this system,
## including DHCP requests
pass out

#nat
pass out on net0 from $int_net  to any nat-to (net0)

f) С помощью routeadm я включил маршрутизацию и ip-forwarding.

Теперь "результат"

Я могу пропинговать 10.2.0.0/24 с 192.168.0.0/24 ОК. Я могу пропинговать 192.168.0.0/24 с 10.2.0.0/24. Vm's OK. Я могу пропинговать внешний адрес (google.de и т.д.) С 10.2.0.0/24. ОК, я не могу соединиться с любым протоколом от виртуальной машины! НЕ ОК Конечно, я проверил маршрут с помощью netstat -rn и сказал 10.2.0.1 по умолчанию (правильно). Но телнет, ссылки, ням и любой вид соединения терпят неудачу! Работает только ping и dns разрешение (sic!) Что проверить?

Answer 1

Решение найдено: брандмауэр слишком ограничен. Я использую этот /etc/firewall/pf.conf., работает нормально без проблем

# Vars
ext_if="net0"
int_if="net1"
ext_net="192.168.0.0/24"
int_net="10.2.0.0/24"
webports="{443, 80}"

##  make IP reassembly work
set reassemble yes no-df

## ignore loopback traffic
set skip on lo0

# block everything unless told otherwise
# and send TCP-RST/ICMP unreachable
# for every packet which gets blocked
block return in log all
pass out all

# Pass
pass in on $int_if proto tcp from $ext_net to any keep state
pass in on $int_if proto udp from $ext_net to any keep state
pass in on $int_if proto tcp from $int_net to any keep state
pass in on $int_if proto udp from $int_net to any keep state

# accept incoming SSH connections
pass in proto tcp from any to $ext_if port 22

# accept dhcp connections
pass in proto udp to any port 67:69
pass in proto tcp to any port 67:69

# accept dns connections
pass in proto udp to any port 53
pass in proto tcp to any port 53

# accept webeservers connections
pass in proto tcp to $ext_if port $webports

# accept icmp
pass in proto icmp all

## allow all connections initiated from this system,
## including DHCP requests
pass out

#nat
pass out on net0 from $int_net to any nat-to (net0)