[fli4l] Bestimmten client in einem Netz isolieren?
Ernst Eiswürfel
ernst.eiswuerfel at online.de
Mo Feb 2 19:49:35 CET 2015
Am 02.02.2015 um 18:49 schrieb K. Dreier:
> N'abend,
>
> bin nicht sicher, ob ich nicht gerade einen massiven Denkfehler mache,
> aber nehmen wir mal an, ich habe in meinem NET_3 einen client, der quasi
> als Sandbox fungieren soll. Es ist eine VM, die via VM-bridging eine
> dedizierte IP im NET_3 (static dhcp via fli4l) bekommt. Diese VM läuft
> auf einem NET_3-client und ist zu diesem grundsätzlich - als VM eben -
> isoliert. Jedoch ist diese VM im NET_3, kann also damit grundsätzlich
> alles, was alle anderen NET_3 clients dürfen.
> Da diese VM auch Zugriff auf den fli4l haben soll "für Internet" kann
> ich also nicht einfach den Zugriff für diesen client via INPUT-Reject
> verbieten. Mal davon abgesehen, daß damit immer noch ein Zugriff auf
> die im gleichen Netz liegenden clients (via Netzwerk; grundsätzlich)
> möglich ist.
>
> Eine Regel wie PF_FORWARD_x='IP_NET_3 [IP vom NET_3-VM-client] REJECT'
> macht ja wahrscheinlich keinen Sinn, da ich im gleichen Netz bin -
> oder?!
> Oder könnte man hier etwas via Prerouting erreichen? Das hab ich
> irgendwie immer noch nicht ganz verstanden... :roll:
>
> Oder, jetzt werde ich glaube ich kreativ, diese VM in ein (quasi
> virtuelles) NET_4 hängen? Die VM ist nicht etwa als DMZ ungeschützt,
> ich brauche also keine Titanwand zwischen dem VM-client und meinem
> NET_3, jedoch will ich einfach mal einiges verbieten, einfach, naja, so
> halt. :)
>
> Danke für eine Erleuchtung,
>
> Gruß
> Klaus
>
Hallo Klaus,
solange sich die VM im NET_3 befindet kann der FLI da nix ausrichten,
alle anderen Clients im NET_3 können erreicht werden.
Die VM im NET_4 auf der gleichen Netzwerkschnittstelle wie NET_3 hilft
nur bedingt. Solange sich die VM an ihre IP aus NET_4 hält, kann der FLI
den Zugriff auf NET_3 filtern. Das kann aber leicht auf der VM
ausgehebelt werden durch Vergabe einer IP in NET_3.
Eine echte Trennung erreichst du nur über zwei getrennte
Netzwerkschnittstellen, entweder physisch oder per VLAN-Tagging.
E.E.
--
Mehr Informationen über die Mailingliste Fli4L