Jörg Lippmann wrote:
Hier soll ein Webserver testweise unter Windoof in VMware laufen. Und zwar so dicht wie möglich. Daher sollte auf dem Host eine Firewall laufen, die den Zugriff auf die VM reguliert.
Wie würde man sowas am schlauesten und sichersten aufziehen?
Kann man die VMware mit Host-only-Networking versehen und trotzdem Pakete von aussen reinrouten?
Klar. So würde ich es auch machen. Es gibt dann zwei Möglichkeiten: - Mit IP-Masquerading und Portforwarding auf die wenigen Ports des Webserver, die erreichbar sein müssen (also normal nur Port 80). Der Webserver wird dann über die (externe) IP des Linux Rechners angesprochen. Ist wohl am sichersten (nur ein Proxy ist wohl noch sicherer ;-). - Mit normalem Routing. Das Host-only Network ist dann halt genau wie ein echtes Netzwerk und Linux dient als Router. Also Routing und IP-Forwarding aktivieren. Der Webserver wird dann über seine eigene IP angesprochen.
Oder platziere ich die VM in einem unbenutzten Subnetz und verwende »normales« bridged-vmnet?
Würde ich nicht machen, ein Angriff wäre dann ja ganz einfach mit IP-Spoofing möglich.
Das NAT-Netz von VMware ist ja nicht geeignet, richtig?
Ich find das NAT Netz einfach nur überflüssig, weil das selbe ja auch ohne geht. Keine Ahnung ob das geht.
Wie würde ich IPTABLES am sinnvollsten einrichten?
Ich nehme immer die SuSEfirewall, die hat jedenfalls alle Features, die hier notwendig sind. Ciao, Magnum -- begin http://www.informatik.uni-muenchen.de/~_rosenbau/