[fli4l] Bestimmten client ?==?utf-8?Q?in einem Netz isolieren?

K. Dreier usenetforum at gmx.net
Mo Feb 2 18:49:39 CET 2015


N'abend,

bin nicht sicher, ob ich nicht gerade einen massiven Denkfehler mache,
aber nehmen wir mal an, ich habe in meinem NET_3 einen client, der quasi
als Sandbox fungieren soll. Es ist eine VM, die via VM-bridging eine
dedizierte IP im NET_3 (static dhcp via fli4l) bekommt. Diese VM läuft
auf einem NET_3-client und ist zu diesem grundsätzlich - als VM eben -
isoliert. Jedoch ist diese VM im NET_3, kann also damit grundsätzlich
alles, was alle anderen NET_3 clients dürfen.
Da diese VM auch Zugriff auf den fli4l haben soll "für Internet" kann
ich also nicht einfach den Zugriff für diesen client via INPUT-Reject
verbieten. Mal davon abgesehen, daß damit immer noch ein Zugriff auf
die im gleichen Netz liegenden clients (via Netzwerk; grundsätzlich)
möglich ist.

Eine Regel wie PF_FORWARD_x='IP_NET_3 [IP vom NET_3-VM-client] REJECT'
macht ja wahrscheinlich keinen Sinn, da ich im gleichen Netz bin -
oder?!
Oder könnte man hier etwas via Prerouting erreichen? Das hab ich
irgendwie immer noch nicht ganz verstanden... :roll: 

Oder, jetzt werde ich glaube ich kreativ, diese VM in ein (quasi
virtuelles) NET_4 hängen? Die VM ist nicht etwa als DMZ ungeschützt,
ich brauche also keine Titanwand zwischen dem VM-client und meinem
NET_3, jedoch will ich einfach mal einiges verbieten, einfach, naja, so
halt.  :) 

Danke für eine Erleuchtung,

Gruß
Klaus


Mehr Informationen über die Mailingliste Fli4L