Server4You, 2 IP`s, 1 NIC mt DMZ und NAT

VirtualBox, VMWare, KVM, XEN, OpenVZ, Virtuozzo, etc.
Anonymous

Server4You, 2 IP`s, 1 NIC mt DMZ und NAT

Post by Anonymous » 2009-02-17 00:43

Hallo,

ich bin seit einigen Tagen am Grübeln ob und wie sich folgende Konfiguration darstellen lässt:

Ich besitze 2 Öffentliche IP`s bei Server4You (Debian Testing, Xen 3.2) welche über eine Netzwerkkarte geroutet werden (eth0 und eth0:1)

eth0 soll über NAT auf verschiedene VMs "verteilt" werden.

eth0:1 wird als DMZ an eine VM weitergeben, da hier mein Produktivserver laufen soll. Da hier bereits eine FW installiert ist und ich nicht für jeden Dienst ein IPTables-Rule setzen möchte, währe ein DMZ meine "Traumkonfiguration"

Je für sich selber bekomme ich das ganze hin, aber leider nicht zusammen.
Ist dies generell möglich, oder müsste ich in wirklichkeit mit 3 IP`s arbeiten'?

Danke
Patrick

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server4You, 2 IP`s, 1 NIC mt DMZ und NAT

Post by Joe User » 2009-02-17 09:09

Eine DMZ auf dem selben Blech zu betreiben, wie das abzuschottene Netzwerk, ist nicht nur sinnfrei sondern dämlich...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Anonymous

Re: Server4You, 2 IP`s, 1 NIC mt DMZ und NAT

Post by Anonymous » 2009-02-17 15:56

Dass DMZ grundsätzlich eine dämliche Idee ist, ist mir bewust. Auf dem Wirt selber, ausser XEN nichts laufen das Irgendwie angreifbar währe und der betroffene Gast hätte eine passende FW.

Vielleicht Denke ich auch falsch und es gibt eine bessere Lösung:

Ich verfüge über 2 IP-Adressen und eine Netzwerkkarte (eth0 und eth0:1).
Mein Priovider ist Server4You und filtert unbekannte MAC-Adressen.

1. IP:
DOM0 und eine VM mit abbild meines Servers zu Testzwecken, bzw. tests diverser Groupwares. Hier ist Portforwarding über IP-Tables kein Problem, da ich auch nciht möchte, dass diese Standard-Mässig von aussen erreichbar sind.

2. IP:
Eine VM, in welcher mein Produktivsystem (Mailserver, Webserver und co Läuft) läuft. (Praktisch durch Snapshots bei evtl. Config-Änderungen). Hier würde ich gerne ohne Portforwarding auskommen, auch wenn die laufenden Dienste bekannt sind, aber man ist ja auch Faul.

Nach dem was ich weiss müsste sich das mit zwei Bridges lösen lassen, aber hier dürfte mir Server4You im weg stehen, vonwegen MAC-Filtering.

Welche Möglichkeiten habe ich, oder ist dies in der obigen Konstellation nicht möglich?

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Server4You, 2 IP`s, 1 NIC mt DMZ und NAT

Post by daemotron » 2009-02-18 09:26

mindless wrote:Ich verfüge über 2 IP-Adressen und eine Netzwerkkarte (eth0 und eth0:1).
Mein Priovider ist Server4You und filtert unbekannte MAC-Adressen.

Dann bleibt Dir nur NAT. Ich würde beide IPs in der Dom0 belassen, und selektiv nach Tripel (externe IP, Transportprotokoll, Port) den Verkehr per iptables an eine bestimmte DomU weiterreichen. Das ist zwar relativ viel Arbeit, da für jeden Dienst eigene Regeln gepflegt werden müssen, hat aber andererseits den Vorteil, dass Du die beiden Public IPs optimal ausnutzen und bei neuen Diensten/DomUs flexibel reagieren kannst. Speziell für HTTP würde ich sogar noch einen Schritt weiter gehen und eine DomU als Reverse Proxy aufsetzen. Das gewährt maximale Flexibilität, und Du kannst an dieser Stelle sogar noch einen Layer 7-Filter einlöten (z. B. Apache mit mod_security).

mindless wrote:2. IP:
Eine VM, in welcher mein Produktivsystem (Mailserver, Webserver und co Läuft) läuft. (Praktisch durch Snapshots bei evtl. Config-Änderungen). Hier würde ich gerne ohne Portforwarding auskommen, auch wenn die laufenden Dienste bekannt sind, aber man ist ja auch Faul.

Ohne Portforwarding kaum lösbar. Du könntest höchstens noch versuchen, ob Du mit ebtables den MAC-Filter deines Providers austricksen kannst...