Рекомендую начать с http://searchitchannel.techtarget.com/feature/Creation-of-virtual-machines-utilizing-command-line-tools
Но следует обратить внимание на файл VMDK - DISK Image. Что вам нужно : Процессоры, оперативная память, сетевая карта, расположенная в VMX файле. Это текстовый файл, который можно отредактировать вручную.
Более полный набор правил брандмауэра, основанный на аналогичной настройке для входящего ssh трафика.
Убедитесь, что все существующие правила iptables смыты перед тестированием.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --ports 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -m multiport --ports 22 -m state --state NEW -j ACCEPT
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark
iptables -N MarkThem -t mangle
iptables -t mangle -A OUTPUT -p tcp -m tcp -m multiport --ports 22 -j MarkThem
iptables -t mangle -A PREROUTING -p tcp -m tcp -m multiport --ports 22 -j MarkThem
# May need to filter out local LAN connections here.
# But try without filtering first.
# iptables -t mangle -A MarkThem -s 10.18.29.0/24 -j RETURN
# iptables -t mangle -A MarkThem -s 10.19.1.0/24 -j RETURN
# iptables -t mangle -A MarkThem -s 192.168.5.0/24 -j RETURN
iptables -t mangle -A MarkThem -j MARK --set-mark 22
iptables -t mangle -A MarkThem -j CONNMARK --save-mark
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.18.29.25
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.19.1.10
Обратите внимание, что я явно установил правила, соответствующие как источнику, так и месту назначения на порту 22. Скорее всего, вы захотите ужесточить правила брандмауэра, как только что-то заработает.
При тестировании исходящих ssh соединений, возможно, стоит указать адрес привязки с помощью опции -b
, чтобы посмотреть, работает ли это для трафика, который исходит с вашего адреса управления.
ssh -b 10.19.1.10 auser@a.server.example.com
.Для входящих ssh соединений (без отслеживания соединения)
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j MARK --set-mark 22
Для исходящих ssh соединений (без отслеживания соединения)
iptables -t mangle -A OUTPUT -p tcp --sport 22 -j MARK --set-mark 22
Вы должны иметь возможность объединить их, используя -порт
вместо -порт
и --спорт
Скорее всего, было бы лучше использовать отслеживание соединения, но вышеприведенные правила должны заставить вас двигаться дальше.