![[LUGA]](/include/smalllugalogo.png)
|
|
Mit freundlicher Unterstützung von:
|
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hi!
Andreas Lederer schrieb:
> Hi,
>
> VMWare:
> Wie schaut es da mit den Netzwerkschnittstellen aus, es war einmal ein Artikel im c't, wo die Einrichtung einer IPCOP-Firewall mittels usermode linux beschrieben wurde.
> Kann ich sowas auch realisieren?
> Mein Wunsch:
> - Eine virtuelle Maschine mit IPCOP als internet firewall/gateway
> - Eine virtuelle Maschine mit Linux
Das geht wunderbar, wir haben das mittlerweile relativ
häufig im Einsatz. So kommt man unter Umständen in
kleineren Umgebungen, wo früher Firewall und Server
zwei getrennte Boxen waren, nun mit einer einzigen
Maschine aus. Auch eine ganze DMZ kann man auf die
Art abbilden.
Der Knackpunkt ist (auch aus Security-Sicht), dass am
Hostsystem die Ethernet-Schnittstellen zwar aktiviert,
aber der IP Stack für das jeweilige Interface nicht
konfiguriert werden muss (bzw. sollte).
Im "Bridged-Modus" (aus der Sicht von VMware) werden
dann einfach alle Daten an das virtuelle Netzwerk-Interface,
welches mit dem realen Netzwerk-Interface verknüpft ist,
weitergereicht. Das kann man mit beliebig vielen
Netzwerk-Interfaces machen (bzw. so viele von VMware
unterstützt werden), je nach Anforderung des
gegenständlichen Projekts.
Am Server (=VMware Host) sieht das dann z.B. so aus:
root@server:~ {501} $ ifconfig
eth0 Link encap:Ethernet HWaddr 00:E0:81:30:61:9F
inet addr:192.168.189.2 Bcast:192.168.189.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:64340123 errors:0 dropped:0 overruns:0 frame:0
TX packets:79966868 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1434587636 (1368.1 Mb) TX bytes:1098485230 (1047.5 Mb)
Interrupt:25
eth1 Link encap:Ethernet HWaddr 00:E0:81:30:61:9E
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9634305 errors:0 dropped:0 overruns:0 frame:0
TX packets:9374794 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1588353674 (1514.7 Mb) TX bytes:3585550541 (3419.4 Mb)
Interrupt:24
An "eth0" hängt das interne Netz, an "eth1" ist die
Internet-Standleitung angeschlossen. Wie man sieht ist
am Server das eth0 zwar aktiv, aber es ist keine IP
Adresse konfiguriert.
Die VMware-prozesse am Server sehen so aus:
root@server:~ {505} $ ps ax | grep bridge
1590 ? S 0:00 /usr/bin/vmnet-bridge -d /var/run/vmnet-bridge-0.pid /dev/vmnet0 eth0
1597 ? S 0:00 /usr/bin/vmnet-bridge -d /var/run/vmnet-bridge-2.pid /dev/vmnet2 eth1
root@server:~ {506} $ ps ax | grep vmware
1604 ? Ss 32:19 /usr/sbin/vmware-serverd -s -d
1780 ? S<s 284:58 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1792 ? S 0:20 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1794 ? S< 7:29 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1795 ? S< 7:29 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1796 ? S< 7:21 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1797 ? S< 7:21 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1798 ? S< 7:22 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1799 ? S< 7:21 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1801 ? S< 91:52 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
1802 ? S 771:16 /usr/lib/vmware/bin/vmware-vmx -C /srv/vmware/router/router.vmx -@ ""
2041 ? S< 89:18 [vmware-rtc]
root@server:~ {507} $ uptime
11:51:19 up 78 days, 1:55, 1 user, load average: 0.03, 0.05, 0.00
Am Router/Firewall (=VMware Gastsystem) sieht es so aus:
root@router:~ {501} $ ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:5B:80:29
inet addr:192.168.189.1 Bcast:192.168.189.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:11334929 errors:0 dropped:0 overruns:0 frame:0
TX packets:10858419 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3936960927 (3754.5 Mb) TX bytes:2300769667 (2194.1 Mb)
Interrupt:18 Base address:0x1080
eth1 Link encap:Ethernet HWaddr 00:0C:29:5B:80:33
inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.255 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9500646 errors:0 dropped:0 overruns:0 frame:0
TX packets:9374863 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1510638837 (1440.6 Mb) TX bytes:3539128893 (3375.1 Mb)
Interrupt:19 Base address:0x1400
root@router:~ {502} $ uptime
11:50:28 up 78 days, 1:32, 1 user, load average: 0.00, 0.00, 0.00
Man kann zwar am Hostsystem dann z.B. mit tcpdump oder
ethereal/wireshark an dem "realen" Netzwerkinterface
mitsniffen, aber mangels IP Konfiguration ist das
Hostsystem auf diesem Interface nicht erreichbar
(ein wesentlicher Punkt, wenn das Interface direkt
an der Internet-Leitung hängt!)
Natürlich hängt die Security dann an der Korrektheit
von VMware und man muss sich immer überlegen, ob
nicht eventuell andere Anforderungen existieren,
die gegen eine Virtualisierung einzelner Systeme
sprechen (z.B. spezielle Hardware, die in VMware
nicht abgebildet werden kann)
Zu den XP Anforderungen kann ich nichts sagen, das
müsste man sich nochmals genauer überlegen.
HTH
LG
- - andreas
- --
Andreas Haumer | mailto:andreas@xss.co.at
*x Software + Systeme | http://www.xss.co.at/
Karmarschgasse 51/2/20 | Tel: +43-1-6060114-0
A-1100 Vienna, Austria | Fax: +43-1-6060114-71
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFFUwlkxJmyeGcXPhERAq+AAKCE+SJx3BvSoeLsyUASQRnl6VJJjgCaA0Qn
RPWDXhD0KGhBHRpCy8mK8C8=
=pFyb
-----END PGP SIGNATURE-----
|
the choice of a gnu generation linux user group austria; |
Suche
|
Letzte Änderung:
webmaster@luga.at September 2010 |