ubuntuusers.de

Hi,

ich habe intern das Netz 10.0.0.0/24 und eine FritzBox mit Internet dahinter auf der 10.0.0.1

Nun habe ich in KVM ein virtuelles Netz erstellt: 10.10.10.0/24. In dieses Netz sollen VMs die vom anderen Netz abgetrennt werden.

Als Firewall habe ich eine VM mit iptables, die eine Schnittstelle 10.0.0.5 (internes Netz) und eine 10.10.10.1 (DMZ Netz).

Nun kann ich an der Fritzbox (10.0.0.1) ein Portforwarding auf die 10.0.0.5 (intern) und einen Port setzen und kommt mit entsprechenden NAT+Firewall-Regeln auch bei einer VM im DMZ-Netz (10.10.10.0/24) an. VMs im DMZ-Netz kommen aber nicht an irgendwelche Adressen im internen Netz (10.0.0.0/24). Klappt also erstmal was ich möchte.

Nun das Problem: Ich möchte temporär (für Updates) Internet im 10.10.10.0/24 (DMZ) Netz bekommen. Dafür muss ich über die Fritzbox (10.0.0.1) gehen.

Hat jemand Ideen, wie ich das in iptables hin bekomme?

Gruß Titzi266

ich bin schon mal so weit, dass ich im internen Netz folgende Route gesetzt habe um die DMZ VMs bei abgeschalter iptables Firewall pingen zu können:

1

route add -net 10.10.10.0 netmask 255.255.255.0 gw 10.0.0.5

Auf der Firewall sind folgende Routen gesetzt:

1
2
3
4
5
6

root@firewall:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1

Anschließend folgendes auf der Firewall, ermöglicht mir von einer DMZ VM Internet Zugriff:

1

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

Vielleicht nochmal eine einfache Erklärung, was ich gerne erreichen will: Die Fritzbox ist in dem Netz in dem alle meine Clients und Geräte sind. Außerdem ist hier ein Server mit VMs im selben Netz Nun möchte ich ein 2. Netzwerk (DMZ) was ins Internet darf und über iptables komplett von dem anderen Netz abgetrennt werden kann. In der DMZ soll als einfaches Beispiel ein Webserver laufen. Angenommen jemand sollte es schaffen diesen zu hacken, soll er nur im DMZ-Netz sein aber nicht ins interne Netz kommen.

Du musst der entsprechenden virtuellen Maschine eine neue Hauptgruppe ("sg" oder "newgroup") zuweisen und dann kannst du iptables anhand der Grupppen-Id filtern lassen. Mit neuer Hauptgruppe "no-lan" z.B. so:

   sg no-lan /usr/bin/kvm.....

und dann (bei Default-Policy = Accept) ungefähr so:

  /sbin/iptables -A OUTPUT -m owner --gid-owner no-lan -d 10.0.0/24 -j DROP

Es hängt natürlich davon ab, wie du die Subbetze genau aufgesplittet hast aber ich denke du hast eine Ansatzpunkt. (Beim Anlegen der Gruppe einmaliges Ab-und Anmelden nicht vergessen.)

Hm, danke aber ich würde gerne ohne Gruppen arbeiten.

War das falsche Forum. Bitte in dem neuen Thread im korrekten Unterforum antworten. Hier gehts weiter: http://forum.ubuntuusers.de/topic/router-im-internen-netz-dmz-als-virtuelles-net/