Hallo !
Ich arbeite mit Linux Opensuse …
Ich hab auf dem Server mehrere virtuelle Maschinen eingerichtet und möchte jetzt eine davon als Firewall benutzen.
Sprich der Server selbst und die VMs sollen hinter der Firewall stehen.
Der Datenverkehr soll über diese Firewall laufen und nur bestimmte IPs sollen Zugriff auf die Maschinen haben.
Hat dafür jemand hier eine Dokumentation oder kann mir jemand das in kurzen Schritten erklären wie ich vorgehen muss.
Vielen Dank …
Im Grund ist das recht einfach. Du kannst ohne weiteres so konfigurieren, dass die physische Maschinen keinen und nur eine der virtuellen Maschinen direkten Internetzugang hat. Dieser einen VM gibst du zwei (oder mehr, wenn du z. B. eine DMZ aufbauen willst) virt. Netzwerkinterfaces - eines ins interne Netz und eines zum Router bzw. per pppoe zum Modem. Alle anderen Maschinen bekommen eine IP-Adresse aus einem getrennten Subnetz und sind somit nicht mehr direkt von aussen zu erreichen. Um eine noch höhere Abschottung zu erreichen kannst du auf der phys. Maschine auch VLANs einrichten und jeweils bestimmte VLANs an bestimmte VM bridgen. Das kann aber ein bisschen aufwändiger sein.
Das kann dann z. B. so aussehen:
eth0 eth1 gw
Router 192.168.0.1/24
PC 192.168.100.100/24 192.168.100.1
VM1 192.168.0.10/24 192.168.100.1/24 192.168.0.1
VM2 192.168.100.101/24 192.168.100.1
VM2 192.168.100.102/24 192.168.100.1
...
Damit geht jeder Verkehr zw. Internet und beliebigen Rechnern, ob phys. oder virtuell, zwingend über VM1, wo du wohldefinierte Zonen hast, zw. denen du nach Belieben filtern kannst.
HTH
Dann würde die VMs unter der Firewall, alle nur durch die Firewall ins Internet gelangen oder?
Dann würde die VMs unter der Firewall, alle nur durch die
Firewall ins Internet gelangen oder?
Da sie darauf angewiesen wären, einen Router zu nutzen, und die Firewall der einzige für sie erreichbare Router wäre, ja. Der eigentliche Router, der der (im von mir dargestellten Szenario) an der DSL-Steckdose hängt, wäre für diese Rechner nicht erreichbar.
Dieses Verfahren ist nicht manipulationssicher, da es ausreicht, die IP-Adresse einer VM zu ändern, um wieder direkten Zugang zu bekommen. Um das zu verhindern müsstest du, wie bereits angedeutet, VLANs einrichten. Für deine Zwecke aber bzw. solange diese Firewall nicht auch für weitere physische Rechner zuständig sein soll, sind VLANs eher nicht erforderlich.
Gruß