Bonjour,
 
Je cherche à mettre en place des VRF sous Linux (Debian 6.0.4).
J'ai une machine hôte avec 3 interfaces :
eth0 : réseau stockage 192.168.0.0/24
eth1 : réseau admin 192.168.100.0/24
eth2 : réseau production 192.168.200.0/24
 
J'ai des machine virtuelles (OpenVZ) sur ce serveur (dans le réseau de prod) et j'aimerai que les VM n'aient pas connaissance ni accès au réseau de stockage, ni au réseau d'admin, uniquement au réseau de prod.
"ip route" permet de créer plusieurs tables de routage mais la table "locale" (identifiant 0) est toujours consultées ce qui fait que je peux pinger eth0 même si je fais un "blackhole 192.168.0.0/24" dans ma table de routage "production". A part le filtrage avec iptable existe-t-il une solution pour que l'IP de eth0/eth1 soit inconnue des containers ?
 
Merci par avance.

Ca n'a pas l'air d'inspirer grand-monde...
Ce n'est pas clair ?

Il y a un truc sur sourceforge qui s'appelle linux-vrf. Sinon faire ce genre de trucs sur autre chose qu'un vrai routeur ne me viendrait pas à l'idée.

J'avais remarqué linux-vrf mais ça n'a pas l'air activement supporté...
 

Ce que tu veux faire c'est des VR, pas des VRF (sauf si tu veux que ça s'étendent à d'autres routeurs).
Ce n'est pas très courant de le faire sur un linux commun. Comme le dit dreamer18,  on le fait généralement sur des routeurs conçu pour cela. Ce type de besoin est assez spécial et plutôt orienté ISP ou lorsqu'on offre des services à des clients ayant potentiellement des plans d'adressage qui se recouvrent.

Pour ce que tu décris, ça me parait un peu surdimensionné et trop "complexe" alors que l'on pourrait s'en sortir avec des méthodes traditionnelles, bien connues et maitrisées

Qu'est ce qui t'empêche de de t'en sortir en collant tout simplement un plan d'adressage cohérent + des ACL qui vont bien + routage adéquat (ie. si routage dynamique, pas d'annonce inutile ?)

 
Justement ça me parait largement plus simple (et rassurant) que de coller des ACL que je devrais modifier (avec les risques que ça comporte) en fonction de l'évolution de la plateforme.
 

Si ton plan d'adressage est cohérent c'est très simple.
Et avec des VR, même si tu arrives à isoler correctement tes tables de routage, il faut que tu réfléchisses également au routage plus loin dans le réseau., par exemple si tes machines virtuelles ont une bête route par défaut pour sortir...