Host-Firewalling und Forwarding für Webserver in VMware
Hi! Ich bräuchte mal einen Tipp zur Konfiguration: Hier soll ein Webserver testweise unter Windoof in VMware laufen. Und zwar so dicht wie möglich. Daher sollte auf dem Host eine Firewall laufen, die den Zugriff auf die VM reguliert. Wie würde man sowas am schlauesten und sichersten aufziehen? Kann man die VMware mit Host-only-Networking versehen und trotzdem Pakete von aussen reinrouten? Oder platziere ich die VM in einem unbenutzten Subnetz und verwende »normales« bridged-vmnet? Das NAT-Netz von VMware ist ja nicht geeignet, richtig? Wie würde ich IPTABLES am sinnvollsten einrichten? Nebenfrage: Taugt fwbuilder was? jörg@wörk
Hi Jörg! Jörg Lippmann schrieb am Wed, 30 Jan 2002 11:47:43 +0100:
Hier soll ein Webserver testweise unter Windoof in VMware laufen. Und zwar so dicht wie möglich. Daher sollte auf dem Host eine Firewall laufen, die den Zugriff auf die VM reguliert. Wie würde man sowas am schlauesten und sichersten aufziehen?
Zuerst mal sicher ohne Windows. :-)
Wie würde ich IPTABLES am sinnvollsten einrichten?
Du richtest die VM so ein, dass sie als eigener Host (bridged) im Netz hängt, der auf den Linux-Wirt als Gateway und Firewall zugreift. Du kannst halt leider zwischen VM und Wirt kein getrenntes Netzsegment aufbauen, sodass Deine Sicherheit dabei nicht optimal sein kann.
Nebenfrage: Taugt fwbuilder was?
Ja, ist ne feine Hilfe. Gruß, Jochen -- ---------------------------------------------------------------- *Jochen Lillich*, Dipl.-Inform. (FH) Consultant/Trainer @ /TeamLinux GbR/ Tel. +49 7254 985187-0 http://www.teamlinux.de ----------------------------------------------------------------
Am Mittwoch, 30. Januar 2002 16:26 zog Jochen Lillich folgendes aus dem Scrabble-Beutel:
Hier soll ein Webserver testweise unter Windoof in VMware laufen. Und zwar so dicht wie möglich. Daher sollte auf dem Host eine Firewall laufen, die den Zugriff auf die VM reguliert. Wie würde man sowas am schlauesten und sichersten aufziehen?
Zuerst mal sicher ohne Windows. :-)
:-) Würde ich ja auch gerne, aber es geht leider nicht ohne...
Wie würde ich IPTABLES am sinnvollsten einrichten?
Du richtest die VM so ein, dass sie als eigener Host (bridged) im Netz hängt, der auf den Linux-Wirt als Gateway und Firewall zugreift. Du kannst halt leider zwischen VM und Wirt kein getrenntes Netzsegment aufbauen, sodass Deine Sicherheit dabei nicht optimal sein kann.
Nur zum Verständnis: Warum kann man das nicht machen? Eine andere Theorie: Wie viel würde es bringen, die VM in ein eigenes Subnetz (über vmnet-bridge) zu packen, so dass sie nur über den Host erreichbar ist? Im Hostsystem würde ich dann squid als accelerated-Proxy einzurichten, so dass Anfragen von aussen nun an den Squid im Host gehen müssen, der sie sich wiederum vom Webserver im VM-Windows holt? (Verständlich formuliert? Nein??) Dann habe ich die VM-Kiste doch schonmal weitestgehend isoliert oder denke ich da völlig falsch? Dann muss ich ja nur eine Firewall für den Host-Rechner einrichten und alle Ports bis auf 80 dichtmachen, oder? Oder kann dann jemand im lokalen Netz, der sich eine Adresse im gleichen Subnetz gibt, an die VM ran? mit freundlichen Grüßen Jörg Lippmann -- dienstlich: joerg.lippmann@o3-software.de · mobil 0179.4125552 O³ Software GmbH und Co. KG · Eichkamp 1 · 24217 Schönberg http://www.o3-software.de · fon 04344.41417.5 · fax 04344.5385
Jörg Lippmann schrieb am Wed, 30 Jan 2002 19:36:08 +0100:
Oder kann dann jemand im lokalen Netz, der sich eine Adresse im gleichen Subnetz gibt, an die VM ran?
Genau das meinte ich. Ein abgetrenntes virtuelles Segment ist m.W. nicht möglich. -- ---------------------------------------------------------------- *Jochen Lillich*, Dipl.-Inform. (FH) Consultant/Trainer @ /TeamLinux GbR/ Tel. +49 7254 985187-0 http://www.teamlinux.de ----------------------------------------------------------------
Ich schrieb am 31 Jan 2002 00:05:32 +0100:
Genau das meinte ich. Ein abgetrenntes virtuelles Segment ist m.W. nicht möglich.
Jetzt bin ich mir nicht mehr so sicher. Gerade das Host-only Networking könnte eine Möglichkeit sein. Ich dachte bisher, es sei nur für den lokalen Filezugriff gedacht, aber ich habe es nochmal angeschaut und im Grunde stellt es offenbar ein virtuelles Netz zwischen VM und Wirt dar. Über dieses virtuelle Netz ließe sich natürlich auch ein gefiltertes Routing über den Wirt konfigurieren. HTH, Jochen -- ---------------------------------------------------------------- *Jochen Lillich*, Dipl.-Inform. (FH) Consultant/Trainer @ /TeamLinux GbR/ Tel. +49 7254 985187-0 http://www.teamlinux.de ----------------------------------------------------------------
Jörg Lippmann wrote:
Hier soll ein Webserver testweise unter Windoof in VMware laufen. Und zwar so dicht wie möglich. Daher sollte auf dem Host eine Firewall laufen, die den Zugriff auf die VM reguliert.
Wie würde man sowas am schlauesten und sichersten aufziehen?
Kann man die VMware mit Host-only-Networking versehen und trotzdem Pakete von aussen reinrouten?
Klar. So würde ich es auch machen. Es gibt dann zwei Möglichkeiten: - Mit IP-Masquerading und Portforwarding auf die wenigen Ports des Webserver, die erreichbar sein müssen (also normal nur Port 80). Der Webserver wird dann über die (externe) IP des Linux Rechners angesprochen. Ist wohl am sichersten (nur ein Proxy ist wohl noch sicherer ;-). - Mit normalem Routing. Das Host-only Network ist dann halt genau wie ein echtes Netzwerk und Linux dient als Router. Also Routing und IP-Forwarding aktivieren. Der Webserver wird dann über seine eigene IP angesprochen.
Oder platziere ich die VM in einem unbenutzten Subnetz und verwende »normales« bridged-vmnet?
Würde ich nicht machen, ein Angriff wäre dann ja ganz einfach mit IP-Spoofing möglich.
Das NAT-Netz von VMware ist ja nicht geeignet, richtig?
Ich find das NAT Netz einfach nur überflüssig, weil das selbe ja auch ohne geht. Keine Ahnung ob das geht.
Wie würde ich IPTABLES am sinnvollsten einrichten?
Ich nehme immer die SuSEfirewall, die hat jedenfalls alle Features, die hier notwendig sind. Ciao, Magnum -- begin http://www.informatik.uni-muenchen.de/~_rosenbau/
Am Mittwoch, 30. Januar 2002 23:45 zog Magnus Rosenbaum folgendes aus dem Scrabble-Beutel:
Hier soll ein Webserver testweise unter Windoof in VMware laufen. Und zwar so dicht wie möglich. Daher sollte auf dem Host eine Firewall laufen, die den Zugriff auf die VM reguliert.
Wie würde man sowas am schlauesten und sichersten aufziehen?
Es gibt dann zwei Möglichkeiten: - Mit IP-Masquerading und Portforwarding auf die wenigen Ports des Webserver, die erreichbar sein müssen (also normal nur Port 80). Der Webserver wird dann über die (externe) IP des Linux Rechners angesprochen. Ist wohl am sichersten (nur ein Proxy ist wohl noch sicherer ;-).
Stichwort Proxy: Ich hab jetzt mal squid auf dem Host entsprechend eingerichtet, dass ich bei http-Anfragen auf den Host automatisch die Seiten der VM mit Windows geliefert bekomme (als accelerated proxy). Klappt gut. Ist es das, was Du meinst? Die VM ist jetzt am hostonly-vmnet. Eigentlich sollte man doch jetzt an die VM sonst überhaupt nicht mehr rankommen können, oder übersehe ich was? Damit brauche ich ja dann auch kein Routing, Masquerading oder Port-Forwarding mehr, richtig? Jetzt muss ich »nur« noch den Linux-Host mit einer Firewall auf der eth0-Schnittstelle dichtmachen (bis auf port 80). Die vmnet-hostonly braucht dann eigentlich keine Firewall mehr, oder? Da geht ja nur der proxy rüber. Vielen Dank schonmal für die Infos! mit freundlichen Grüßen Jörg Lippmann -- dienstlich: joerg.lippmann@o3-software.de · mobil 0179.4125552 O³ Software GmbH und Co. KG · Eichkamp 1 · 24217 Schönberg http://www.o3-software.de · fon 04344.41417.5 · fax 04344.5385
participants (3)
-
Jochen Lillich -
Jörg Lippmann -
Magnus Rosenbaum