PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Endian Firewall in VMware Server



/root
23.12.2007, 19:37
Hi, erstmal

Ich versuhe momentan einen kleinen All in One Server à la c't Server zu erstellen. Ich versuche also einen Hostserver mit Samba usw. zu erstellen, der auch VMware am laufen hatt. Darin will ich eine Endian Firewall in einer virtuellen Maschine laufen lassen. In einer anderen virtuellen Maschine soll ein kleiner Webserver laufen nur für private Zwecke.

Ich wollte jetzt fragen, ob jemand gute Anleitungen hat wegen dem Routing und al den Dingen für VMware. Ich blick da nicht ganz durch.

P.S. Mir ist klar, dass mein Einfall Sicherheitstechnisch nicht das Beste ist, aber der Webserver z.B. wird nicht öffentlich werden.

Ich danke für tolle Antworten :)

Keruskerfürst
23.12.2007, 20:08
Ich würde einen Firewall nicht auf dem Server selbst installieren.

/root
24.12.2007, 09:50
Danke für die Antwort -.-*

Mir ist schon klar (übrigens wie oben schon angedeutet), dass es sicherheitstechnisch nicht ratsam ist dies zu tun. Aus Hardwaremangel und Stromkosten will ich aber alles auf einem Rechner haben.

Gibts irgendwelche anderen Erfahrungen?

sinn3r
24.12.2007, 09:53
Darf man fragen, was du mit der Firewall möchtest?

Wenn keine Serverdienste laufen sind eh keine Ports auf. Und wenn dann reicht doch eigentlich iptables, fail2ban und so weiter....?

serverzeit.de
24.12.2007, 11:24
Denk nochmal über dein Netzwerkdesign nach. Wer soll über die Firewall gesichert werden?

/root
24.12.2007, 15:03
Danke für die grosse Hilfe, die ich hier bekomme...

Ich kann ja noch 2-3 mal darauf hindeuten, dass mir selber bewusst ist, dass meine Lösung nicht die beste Lösung ist. Aber ich hätte es nunmal gerne so...

serverzeit.de
24.12.2007, 15:22
Es geht nicht unbedingt um gut oder schlecht, eher um funktioniert oder nicht.

Zudem solltest du bedenken, dass je nachdem was du da einrichtest, du das falsche schützt und dich in falscher Sicherheit wiegst.

Wie du schon sagst, wir wollen nur helfen und auf eventuelle (!) Denkfehler hinweisen.

Jabo
24.12.2007, 15:54
Du mußt wohl eine IP-Tables-Regel definieren, die alle Pakete vom externen Device auf das gewünschte (virtuelle) umleitet und sonst keine weiteren Regeln (Ports zu etc. - das soll ja dort entschieden werden..)

Und das Ding als Standard-Gateway überall sonst einrichten.

Wäre mein erster Gedanke dazu, aber gebaut habe ich sowas noch nicht.

[Edit]
@Webserver....

Du hast ja dann die Situation, daß dein Rechner im Netz *vor* seiner Firewall steht, was definiziöser Unsinn ist, aber du sagst ja, daß du das weißt....

Also wenn auf Port 80 eine Abfrage kommt, wird die an die VM weiter geleitet. Die soll das erlauben, aber sagen wir der Webserver läuft auf dem Host, nicht der VM. Dann muß die VM diese Pakete zurück schicken, aber eben nicht nach 80, weil sie von dort auf die VM zurück geschickt werden und das geht im Kreis. Oder du regelst Redirects über die lokale IP eines anderen Interfaces, das die IP-Tables-Regel nicht triggert.

Anschließend muß dieser Webserver mit der Antwort raus, dazu habe ich noch keine Idee. Evtl. die Firewall als Proxy nutzen, aber wie geht die VM ins Internet?? k.a. ob das geht... Nur Brainstorming gerade..