[LUGA] Mit freundlicher Unterstützung von:
OCG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Re: [luga] Re: Linux support für Intel Mainboard mit 965 Chipsatz



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi!

Andreas Lederer schrieb:
> Hi,
> 
> VMWare:
> Wie schaut es da mit den Netzwerkschnittstellen aus, es war einmal ein Artikel im c't, wo die Einrichtung einer IPCOP-Firewall mittels usermode linux beschrieben wurde.
> Kann ich sowas auch realisieren?
> Mein Wunsch:
> - Eine virtuelle Maschine mit IPCOP als internet firewall/gateway
> - Eine virtuelle Maschine mit Linux

Das geht wunderbar, wir haben das mittlerweile relativ
häufig im Einsatz. So kommt man unter Umständen in
kleineren Umgebungen, wo früher Firewall und Server
zwei getrennte Boxen waren, nun mit einer einzigen
Maschine aus. Auch eine ganze DMZ kann man auf die
Art abbilden.

Der Knackpunkt ist (auch aus Security-Sicht), dass am
Hostsystem die Ethernet-Schnittstellen zwar aktiviert,
aber der IP Stack für das jeweilige Interface nicht
konfiguriert werden muss (bzw. sollte).
Im "Bridged-Modus" (aus der Sicht von VMware) werden
dann einfach alle Daten an das virtuelle Netzwerk-Interface,
welches mit dem realen Netzwerk-Interface verknüpft ist,
weitergereicht. Das kann man mit beliebig vielen
Netzwerk-Interfaces machen (bzw. so viele von VMware
unterstützt werden), je nach Anforderung des
gegenständlichen Projekts.

Am Server (=VMware Host) sieht das dann z.B. so aus:

root@server:~ {501} $ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:E0:81:30:61:9F
          inet addr:192.168.189.2  Bcast:192.168.189.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:64340123 errors:0 dropped:0 overruns:0 frame:0
          TX packets:79966868 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1434587636 (1368.1 Mb)  TX bytes:1098485230 (1047.5 Mb)
          Interrupt:25

eth1      Link encap:Ethernet  HWaddr 00:E0:81:30:61:9E
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9634305 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9374794 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1588353674 (1514.7 Mb)  TX bytes:3585550541 (3419.4 Mb)
          Interrupt:24


An "eth0" hängt das interne Netz, an "eth1" ist die
Internet-Standleitung angeschlossen. Wie man sieht ist
am Server das eth0 zwar aktiv, aber es ist keine IP
Adresse konfiguriert.

Die VMware-prozesse am Server sehen so aus:

root@server:~ {505} $ ps ax | grep bridge
 1590 ?        S      0:00 /usr/bin/vmnet-bridge -d /var/run/vmnet-bridge-0.pid /dev/vmnet0 eth0
 1597 ?        S      0:00 /usr/bin/vmnet-bridge -d /var/run/vmnet-bridge-2.pid /dev/vmnet2 eth1

root@server:~ {506} $ ps ax | grep vmware
 1604 ?        Ss    32:19 /usr/sbin/vmware-serverd -s -d
 1780 ?        S<s  284:58 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1792 ?        S      0:20 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1794 ?        S<     7:29 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1795 ?        S<     7:29 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1796 ?        S<     7:21 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1797 ?        S<     7:21 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1798 ?        S<     7:22 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1799 ?        S<     7:21 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1801 ?        S<    91:52 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 1802 ?        S    771:16 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
 2041 ?        S<    89:18 [vmware-rtc]

root@server:~ {507} $ uptime
 11:51:19 up 78 days,  1:55,  1 user,  load average: 0.03, 0.05, 0.00


Am Router/Firewall (=VMware Gastsystem) sieht es so aus:

root@router:~ {501} $ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:5B:80:29
          inet addr:192.168.189.1  Bcast:192.168.189.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11334929 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10858419 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3936960927 (3754.5 Mb)  TX bytes:2300769667 (2194.1 Mb)
          Interrupt:18 Base address:0x1080

eth1      Link encap:Ethernet  HWaddr 00:0C:29:5B:80:33
          inet addr:xxx.xxx.xxx.xxx  Bcast:xxx.xxx.xxx.255  Mask:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9500646 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9374863 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1510638837 (1440.6 Mb)  TX bytes:3539128893 (3375.1 Mb)
          Interrupt:19 Base address:0x1400


root@router:~ {502} $ uptime
 11:50:28 up 78 days,  1:32,  1 user,  load average: 0.00, 0.00, 0.00


Man kann zwar am Hostsystem dann z.B. mit tcpdump oder
ethereal/wireshark an dem "realen" Netzwerkinterface
mitsniffen, aber mangels IP Konfiguration ist das
Hostsystem auf diesem Interface nicht erreichbar
(ein wesentlicher Punkt, wenn das Interface direkt
an der Internet-Leitung hängt!)

Natürlich hängt die Security dann an der Korrektheit
von VMware und man muss sich immer überlegen, ob
nicht eventuell andere Anforderungen existieren,
die gegen eine Virtualisierung einzelner Systeme
sprechen (z.B. spezielle Hardware, die in VMware
nicht abgebildet werden kann)

Zu den XP Anforderungen kann ich nichts sagen, das
müsste man sich nochmals genauer überlegen.

HTH

LG

- - andreas

- --
Andreas Haumer                     | mailto:andreas@xss.co.at
*x Software + Systeme              | http://www.xss.co.at/
Karmarschgasse 51/2/20             | Tel: +43-1-6060114-0
A-1100 Vienna, Austria             | Fax: +43-1-6060114-71
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFUwlkxJmyeGcXPhERAq+AAKCE+SJx3BvSoeLsyUASQRnl6VJJjgCaA0Qn
RPWDXhD0KGhBHRpCy8mK8C8=
=pFyb
-----END PGP SIGNATURE-----



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010