KingJoshii1000
Lieutenant
- Registriert
- Apr. 2010
- Beiträge
- 879
Hallo,
ich nutze Debian 7 um einige Clients via KVM zu virtualisieren.
Der Host bestitzt zwei Netzwerkkarten:
Eth0 und vmnet0 (KVM).
Nun zu meiner Idee, ich möchte gerne den Host so absichern via Firewall, dass nur der SSH Port direkt zum Host führt, und die anderen Dienste auf den VM's bereit gestellt werden. Also HostIp:80 wird weitergeleitet zu VMIp:80 weil dort der Webserver bereit gestellt wird. Desweiteren sollten alle VM's keinen Zugriff zum Internet haben, außer die Ports die ich freigebe. Also nur Traffic auf den festgelegten Ports wird forwarded. Der Host ist nur auf dem freigegebenen Port erreichbar, anderer Traffic wird verworfen. Wenn der Host jedoch eine Anfrage stellt wird die Antwort durchgelassen. Das funktioniert soweit auch super.
Nun das Problem, wie richte ich eine Port Weiterleitung ein, z.B. von HostIP:80 auf VMIp:80? Habe da schon verschiedene Sachen ausprobiert und leider brachte nichts die erhoffte Lösung.
Meine zweite Frage wäre, wie sollte die FORWARD Policy lauten, wenn die VM Traffic über den Port 999 an eine IP im Internet senden möchte, und dieser dann wieder zur VM zurück kommt?
Soweit sieht mein Iptables Script bisher aus:
Mit freundlichen Grüßen
ich nutze Debian 7 um einige Clients via KVM zu virtualisieren.
Der Host bestitzt zwei Netzwerkkarten:
Eth0 und vmnet0 (KVM).
Nun zu meiner Idee, ich möchte gerne den Host so absichern via Firewall, dass nur der SSH Port direkt zum Host führt, und die anderen Dienste auf den VM's bereit gestellt werden. Also HostIp:80 wird weitergeleitet zu VMIp:80 weil dort der Webserver bereit gestellt wird. Desweiteren sollten alle VM's keinen Zugriff zum Internet haben, außer die Ports die ich freigebe. Also nur Traffic auf den festgelegten Ports wird forwarded. Der Host ist nur auf dem freigegebenen Port erreichbar, anderer Traffic wird verworfen. Wenn der Host jedoch eine Anfrage stellt wird die Antwort durchgelassen. Das funktioniert soweit auch super.
Nun das Problem, wie richte ich eine Port Weiterleitung ein, z.B. von HostIP:80 auf VMIp:80? Habe da schon verschiedene Sachen ausprobiert und leider brachte nichts die erhoffte Lösung.
Meine zweite Frage wäre, wie sollte die FORWARD Policy lauten, wenn die VM Traffic über den Port 999 an eine IP im Internet senden möchte, und dieser dann wieder zur VM zurück kommt?
Soweit sieht mein Iptables Script bisher aus:
Code:
iptables -P INPUT DROP
iptables -P FORWARD DROP
#INPUT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1000 -j ACCEPT //SSH
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i vmnet0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#FORWARD
Mit freundlichen Grüßen