Liebe Leute,
ich habe mit Xen einen Virtualisierungsserver installiert. Auf der Dom0 sowie auf der DomU (vm01) läuft Ubuntu 12.04. Die DomU hat eine eigene öffentliche IP und bekommt sein Internet über bridging, die Konfiguration unter dom0 sieht so aus:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 | root@dom0:/#ifconfig
eth0 Link encap:Ethernet HWaddr e4:11:5b:0f:c8:ac
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:40375 errors:0 dropped:0 overruns:0 frame:0
TX packets:18162 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:20693092 (20.6 MB) TX bytes:2465071 (2.4 MB)
Interrupt:16 Memory:f4000000-f4012800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88 (88.0 B) TX bytes:88 (88.0 B)
vif2.0 Link encap:Ethernet HWaddr fe:ff:ff:ff:ff:ff
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:12122 errors:0 dropped:0 overruns:0 frame:0
TX packets:31001 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:1331994 (1.3 MB) TX bytes:15997813 (15.9 MB)
xenbr0 Link encap:Ethernet HWaddr e4:11:5b:0f:c8:ac
inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.xxx Mask:xxx.xxx.xxx.xxx
inet6 addr: fe80::e611:5bff:fe0f:c8ac/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:21429 errors:0 dropped:0 overruns:0 frame:0
TX packets:4503 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3365196 (3.3 MB) TX bytes:672094 (672.0 KB)
|
Nun wollte ich meinen Server absichern und mein iptables konfigurieren allerdings dürfte da für's bridging schon was konfiguriert sein:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | root@dom0:/# iptables -t filter -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT gre -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere PHYSDEV match --physdev-out vif2.0 --physdev-is-bridged ACCEPT udp -- anywhere anywhere PHYSDEV match --physdev-in vif2.0 --physdev-is-bridged udp spt:bootpc dpt:bootps ACCEPT all -- anywhere anywhere PHYSDEV match --physdev-out vif2.0 --physdev-is-bridged ACCEPT all -- vm01 anywhere PHYSDEV match --physdev-in vif2.0 --physdev-is-bridged Chain OUTPUT (policy ACCEPT) target prot opt source destination |
Meine ursprüngliche Intention mal alles zu löschen und mit dann schön vorzuhanteln ist also wohl nicht so gut, da ich dann vermutlich das bridging vergessen kann? Bin leider nicht gerade ein iptables-Profi 
Wie sichere ich meine dom0 jetzt am Besten so ab dass ich danach noch internet für meine domU habe? Ich brauche auf dom0 eigentlich nur drei Dinge:
1. Möchte eigentlich den gesamten Input ausser ssh (läuft über speziellen Port) sperren.
2. Ausserdem soll meine automatische Sicherung (dsmc) noch funktionieren - da kontaktiert mein Server den Sicherungsserver, der sollte dann aber natürlich antworten können. Erkennt iptables das? Stateful nennt sich das, glaub ich.
3. Der Traffic für die domU sollte direkt in der domU gehandelt werden, wenn das irgendwie geht. (Also in der domU konfigurier ich dann das iptables für diese)
Bin leider völlig planlos wie ich das konfiguriere und hab ziemlichen Schiss, dass ich mir mein bridging zerschieße. Kann mir jemand ein paar Tips geben?
LG
2004 – 2013 ubuntuusers.de • Einige Rechte vorbehalten