eingehenden traffic umrouten

maze92

Little Overclocker

Registered: Jan 2008
Location: Wollsdorf
Posts: 91

15.01.2014 - 00:54

Hi,

Ich stehe hier vor einem kleinen problem..
Ich will den gesamten traffic der über eth0 (öffentliche ip) rein kommt über das interface vboxnet0 auf eine private ip in meine firewall umleiten.
und auf dieser dann gewisse port forwardings setzen..
sobalt dies geschehen ist würde ich das default gw auf eine zweite, die lan ip, meiner fw stellen damit auch asugehender traffic zuerst durch die firewall muss..

Ich habe aber leider auch durch viel googeln nicht herasugefunden wie ich den eingehenden traffic umleiten kann..

ds interface eth0 in bridget modus zustellen habe ich schon versucht und auf der firewall dann die öffentliche ip einzutragen, aber dannach ging leider gar ncihts mehr...

habt Ihr ein paar ideen dazu?

als Host wird ein Debian 7.3 verwendet und als FW dient ein IPFire in einer VirtualBox umgebung.

lg, maze92

Ringding

Pilot

Registered: Jan 2002
Location: Perchtoldsdorf/W..
Posts: 4300

15.01.2014 - 09:16

Mit DNAT kann man so etwas umleiten. Aber was ist vboxnet0? Ist das nicht eh so ein Bridge-artikes Zeug? Kannst du dann nicht einfach dem Guest die öffentliche IP-Adresse geben?

bsox

Schwarze Socke

Registered: Jun 2009
Location: Dschibuti
Posts: 1039

15.01.2014 - 10:31

Lustig, so ein ähnliches Vorhaben schwebt mir auch gerade vor. Allerdings habe ich im Hinterkopf, dass es viele Stimmen gegen eine Virtualisierung der Firewall gibt. Vor allem wegen dem zusätzlichen Angriffsvektor auf den Hypervisor, in Deinem Fall VirtualBox.

Hast Du vor das zu grunde liegende Debian noch in einer speziellen Weise abzusichern?

maze92

Little Overclocker

Registered: Jan 2008
Location: Wollsdorf
Posts: 91

15.01.2014 - 13:31

vboxnet0 ist das Host only interface von Virtualbox,
Ich habe es versucht der FW die öffentliche zu geben, aber irgendwie wil ldas nicht funktionieren, oder Ich bin zu blöd das richtig zu confen.

Eine HW-Firewall wäre mirr eh leiber, aber das ist leider nicht möglich da die Debian installation auf einer ESXi installation auf einem Root-Server bei Hetzner ist.

eine andere absicherung der Debian installation hatte Ich eigentlich nicht vor, weis aber leider auch nciht was ich außer einer Firewall noch alles zum absichern benutzen könnte.

lg

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

15.01.2014 - 13:42

was soll außer der vm firewall noch auf debian laufen?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

15.01.2014 - 13:49

warum setzt die firewall-vm ned in einer weiteren umgebung des ESXi auf?

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

15.01.2014 - 13:57

Das klingt aber völlig durch die Brust ins Auge. Was soll der Zweck sein? Warscheinlich ist es sicherer ohne Firewall, wenn wirklich nur die nötigsten Dienste auf irgendetwas horchen. Abgeschaltete Dienste sind sicherer als offene hinter einer Firewall die evtl. umgangen werden kann.

bsox

Schwarze Socke

Registered: Jun 2009
Location: Dschibuti
Posts: 1039

15.01.2014 - 14:41

Das klingt wirklich etwas kompliziert und wahrscheinlich ist eine andere Lösung eleganter. Das vboxnet0 Interface ist wie von Dir schon gesagt "host-only" und ich glaube nicht, dass irgendein Traffic darüber geroutet wird. Probier's mit dem "bridged interface(adapter)" in der Virtualbox Konfiguration.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

15.01.2014 - 14:53

zur not könnte man ins vbox Manual schauen um die funktionsweise der interfaces zu verstehen.

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

15.01.2014 - 15:47

Hier noch eine deutsche Hilfestellung:
http://www.thomas-krenn.com/de/wiki...n_in_VirtualBox

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11521

15.01.2014 - 16:52

warum verwendest nicht einfach iptables direkt auf dem server bzw. halt was komfortableres wie shorewall ?

maze92 Little Overclocker Registered: Jan 2008 Location: Wollsdorf Posts: 91	15.01.2014 - 00:54 Hi, Ich stehe hier vor einem kleinen problem.. Ich will den gesamten traffic der über eth0 (öffentliche ip) rein kommt über das interface vboxnet0 auf eine private ip in meine firewall umleiten. und auf dieser dann gewisse port forwardings setzen.. sobalt dies geschehen ist würde ich das default gw auf eine zweite, die lan ip, meiner fw stellen damit auch asugehender traffic zuerst durch die firewall muss.. Ich habe aber leider auch durch viel googeln nicht herasugefunden wie ich den eingehenden traffic umleiten kann.. ds interface eth0 in bridget modus zustellen habe ich schon versucht und auf der firewall dann die öffentliche ip einzutragen, aber dannach ging leider gar ncihts mehr... habt Ihr ein paar ideen dazu? als Host wird ein Debian 7.3 verwendet und als FW dient ein IPFire in einer VirtualBox umgebung. lg, maze92
Ringding Pilot Registered: Jan 2002 Location: Perchtoldsdorf/W.. Posts: 4300	15.01.2014 - 09:16 Mit DNAT kann man so etwas umleiten. Aber was ist vboxnet0? Ist das nicht eh so ein Bridge-artikes Zeug? Kannst du dann nicht einfach dem Guest die öffentliche IP-Adresse geben?
bsox Schwarze Socke Registered: Jun 2009 Location: Dschibuti Posts: 1039	15.01.2014 - 10:31 Lustig, so ein ähnliches Vorhaben schwebt mir auch gerade vor. Allerdings habe ich im Hinterkopf, dass es viele Stimmen gegen eine Virtualisierung der Firewall gibt. Vor allem wegen dem zusätzlichen Angriffsvektor auf den Hypervisor, in Deinem Fall VirtualBox. Hast Du vor das zu grunde liegende Debian noch in einer speziellen Weise abzusichern?
maze92 Little Overclocker Registered: Jan 2008 Location: Wollsdorf Posts: 91	15.01.2014 - 13:31 vboxnet0 ist das Host only interface von Virtualbox, Ich habe es versucht der FW die öffentliche zu geben, aber irgendwie wil ldas nicht funktionieren, oder Ich bin zu blöd das richtig zu confen. Eine HW-Firewall wäre mirr eh leiber, aber das ist leider nicht möglich da die Debian installation auf einer ESXi installation auf einem Root-Server bei Hetzner ist. eine andere absicherung der Debian installation hatte Ich eigentlich nicht vor, weis aber leider auch nciht was ich außer einer Firewall noch alles zum absichern benutzen könnte. lg
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	15.01.2014 - 13:42 was soll außer der vm firewall noch auf debian laufen?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	15.01.2014 - 13:49 warum setzt die firewall-vm ned in einer weiteren umgebung des ESXi auf?
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	15.01.2014 - 13:57 Das klingt aber völlig durch die Brust ins Auge. Was soll der Zweck sein? Warscheinlich ist es sicherer ohne Firewall, wenn wirklich nur die nötigsten Dienste auf irgendetwas horchen. Abgeschaltete Dienste sind sicherer als offene hinter einer Firewall die evtl. umgangen werden kann.
bsox Schwarze Socke Registered: Jun 2009 Location: Dschibuti Posts: 1039	15.01.2014 - 14:41 Das klingt wirklich etwas kompliziert und wahrscheinlich ist eine andere Lösung eleganter. Das vboxnet0 Interface ist wie von Dir schon gesagt "host-only" und ich glaube nicht, dass irgendein Traffic darüber geroutet wird. Probier's mit dem "bridged interface(adapter)" in der Virtualbox Konfiguration.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	15.01.2014 - 14:53 zur not könnte man ins vbox Manual schauen um die funktionsweise der interfaces zu verstehen.
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	15.01.2014 - 15:47 Hier noch eine deutsche Hilfestellung: http://www.thomas-krenn.com/de/wiki...n_in_VirtualBox
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11521	15.01.2014 - 16:52 warum verwendest nicht einfach iptables direkt auf dem server bzw. halt was komfortableres wie shorewall ?

eingehenden traffic umrouten

Forum Index > Software > Linux and other OS

maze92

Ringding

bsox

maze92

Nico

userohnenamen

Crash Override

bsox

Nico

mr.nice.

davebastard