Am Mittwoch, 30. Januar 2002 16:26 zog Jochen Lillich folgendes aus dem Scrabble-Beutel:
Hier soll ein Webserver testweise unter Windoof in VMware laufen. Und zwar so dicht wie möglich. Daher sollte auf dem Host eine Firewall laufen, die den Zugriff auf die VM reguliert. Wie würde man sowas am schlauesten und sichersten aufziehen?
Zuerst mal sicher ohne Windows. :-)
:-) Würde ich ja auch gerne, aber es geht leider nicht ohne...
Wie würde ich IPTABLES am sinnvollsten einrichten?
Du richtest die VM so ein, dass sie als eigener Host (bridged) im Netz hängt, der auf den Linux-Wirt als Gateway und Firewall zugreift. Du kannst halt leider zwischen VM und Wirt kein getrenntes Netzsegment aufbauen, sodass Deine Sicherheit dabei nicht optimal sein kann.
Nur zum Verständnis: Warum kann man das nicht machen? Eine andere Theorie: Wie viel würde es bringen, die VM in ein eigenes Subnetz (über vmnet-bridge) zu packen, so dass sie nur über den Host erreichbar ist? Im Hostsystem würde ich dann squid als accelerated-Proxy einzurichten, so dass Anfragen von aussen nun an den Squid im Host gehen müssen, der sie sich wiederum vom Webserver im VM-Windows holt? (Verständlich formuliert? Nein??) Dann habe ich die VM-Kiste doch schonmal weitestgehend isoliert oder denke ich da völlig falsch? Dann muss ich ja nur eine Firewall für den Host-Rechner einrichten und alle Ports bis auf 80 dichtmachen, oder? Oder kann dann jemand im lokalen Netz, der sich eine Adresse im gleichen Subnetz gibt, an die VM ran? mit freundlichen Grüßen Jörg Lippmann -- dienstlich: joerg.lippmann@o3-software.de · mobil 0179.4125552 O³ Software GmbH und Co. KG · Eichkamp 1 · 24217 Schönberg http://www.o3-software.de · fon 04344.41417.5 · fax 04344.5385