RootForum Community

Hallo,

ich bin seit einigen Tagen am Grübeln ob und wie sich folgende Konfiguration darstellen lässt:

Ich besitze 2 Öffentliche IP`s bei Server4You (Debian Testing, Xen 3.2) welche über eine Netzwerkkarte geroutet werden (eth0 und eth0:1)

eth0 soll über NAT auf verschiedene VMs "verteilt" werden.

eth0:1 wird als DMZ an eine VM weitergeben, da hier mein Produktivserver laufen soll. Da hier bereits eine FW installiert ist und ich nicht für jeden Dienst ein IPTables-Rule setzen möchte, währe ein DMZ meine "Traumkonfiguration"

Je für sich selber bekomme ich das ganze hin, aber leider nicht zusammen.
Ist dies generell möglich, oder müsste ich in wirklichkeit mit 3 IP`s arbeiten'?

Danke
Patrick

Eine DMZ auf dem selben Blech zu betreiben, wie das abzuschottene Netzwerk, ist nicht nur sinnfrei sondern dämlich...

Dass DMZ grundsätzlich eine dämliche Idee ist, ist mir bewust. Auf dem Wirt selber, ausser XEN nichts laufen das Irgendwie angreifbar währe und der betroffene Gast hätte eine passende FW.

Vielleicht Denke ich auch falsch und es gibt eine bessere Lösung:

Ich verfüge über 2 IP-Adressen und eine Netzwerkkarte (eth0 und eth0:1).
Mein Priovider ist Server4You und filtert unbekannte MAC-Adressen.

1. IP:
DOM0 und eine VM mit abbild meines Servers zu Testzwecken, bzw. tests diverser Groupwares. Hier ist Portforwarding über IP-Tables kein Problem, da ich auch nciht möchte, dass diese Standard-Mässig von aussen erreichbar sind.

2. IP:
Eine VM, in welcher mein Produktivsystem (Mailserver, Webserver und co Läuft) läuft. (Praktisch durch Snapshots bei evtl. Config-Änderungen). Hier würde ich gerne ohne Portforwarding auskommen, auch wenn die laufenden Dienste bekannt sind, aber man ist ja auch Faul.

Nach dem was ich weiss müsste sich das mit zwei Bridges lösen lassen, aber hier dürfte mir Server4You im weg stehen, vonwegen MAC-Filtering.

Welche Möglichkeiten habe ich, oder ist dies in der obigen Konstellation nicht möglich?

mindless wrote:Ich verfüge über 2 IP-Adressen und eine Netzwerkkarte (eth0 und eth0:1).
Mein Priovider ist Server4You und filtert unbekannte MAC-Adressen.

Dann bleibt Dir nur NAT. Ich würde beide IPs in der Dom0 belassen, und selektiv nach Tripel (externe IP, Transportprotokoll, Port) den Verkehr per iptables an eine bestimmte DomU weiterreichen. Das ist zwar relativ viel Arbeit, da für jeden Dienst eigene Regeln gepflegt werden müssen, hat aber andererseits den Vorteil, dass Du die beiden Public IPs optimal ausnutzen und bei neuen Diensten/DomUs flexibel reagieren kannst. Speziell für HTTP würde ich sogar noch einen Schritt weiter gehen und eine DomU als Reverse Proxy aufsetzen. Das gewährt maximale Flexibilität, und Du kannst an dieser Stelle sogar noch einen Layer 7-Filter einlöten (z. B. Apache mit mod_security).

mindless wrote:2. IP:
Eine VM, in welcher mein Produktivsystem (Mailserver, Webserver und co Läuft) läuft. (Praktisch durch Snapshots bei evtl. Config-Änderungen). Hier würde ich gerne ohne Portforwarding auskommen, auch wenn die laufenden Dienste bekannt sind, aber man ist ja auch Faul.

Ohne Portforwarding kaum lösbar. Du könntest höchstens noch versuchen, ob Du mit ebtables den MAC-Filter deines Providers austricksen kannst...