Comments | linux007: Вопрос по сети для виртуальных машин и хоста в DMZ

linux007

Вопрос по сети для виртуальных машин и хоста в DMZ

Oct 14, 2011 14:52

Я совсем запутался. Я понимаю, когда мы говорим про локальную сеть, то я могу выдать местный ip хосту и более другой адрес виртуальному серверу, ради которого всё и затевалось. Пока этот более другой статический внутренний, но мы потом это можем поменять на внешний. Далее, я перемещаю сервер в DMZ (пока ещё мысленно). Внутренних ip адресов там нет ( Read more... )

linux

Comments 19

dizel_by October 14 2011, 11:55:11 UTC

Это не так делается. На хосте поднимается несколько IP, один из которых роутится внутрь виртуальной машины.

Re: Ответ на вашу запись... linux007 October 14 2011, 11:58:21 UTC

Тыкни в мануал, а? Желательно CentOS + KVM

Re: Ответ на вашу запись... dizel_by October 14 2011, 12:01:37 UTC

Йа мобилко. Ищи по source based routing.

Re: Ответ на вашу запись... linux007 October 14 2011, 12:15:14 UTC

Я правильно понял, что адресов надо всё равно два?

Thread 6

gnom_virtuoz October 14 2011, 12:25:18 UTC

эм... честно говоря не совсем понял, чего собстнно нужно добиться. спрятать сервера за NAT, или что? можно подробнее?

Re: Ответ на вашу запись... linux007 October 14 2011, 12:32:25 UTC

Есть сеть DMZ. Есть виртуальный сервер, который работает в DMZ. Второго адреса в DMZ (для хост-машины) у меня нет. Сейчас думаю, что хост-машина в DMZ будет с адресом 10.11.12.13, а в локальную сеть воткнуть второй интерфейс (для управления хост машиной).

Это совсем кривое решение?

Re: Ответ на вашу запись... alex_butenko October 14 2011, 15:52:46 UTC

можно дать хост системе IP из DMZ, а все виртуалки объеденить в приватную сеть 10.0.0.0, например. Потом на хост системе настраиваются порт форвардинги. Например, порт 80 хост машины форвардится на 10.0.0.1:80, порт 2201 форвардится в 10.0.0.1:22 итд.

Если у тебя DMZшных ипов можно взять больше одного, можно виртуалки пустить в режиме бриджа и для каждой ассайнить ip из DMZ.

Или метод дизеля.

Re: Ответ на вашу запись... linux007 October 14 2011, 15:59:20 UTC

Вот у меня айпи только один, а я настроил бридж. А метод дизеля я так и не понял.

Thread 7

tzirechnoy October 14 2011, 14:23:14 UTC

Безопасность посредством NAT -- это очень плохая идея.

Re: Ответ на вашу запись... linux007 October 14 2011, 15:59:54 UTC

Про безопасность - это шутка была :-)

alex_butenko October 14 2011, 16:07:00 UTC

если не секрет, в чем выражается плохость, в случае если гейт хорошо защищен?

tzirechnoy October 15 2011, 10:46:14 UTC

В первую очередь в том, что при разработке NATов и их настройке вопрос безопасности вообще не ставится. Никем -- ни теми, кто пишэт код, ни теми, кто настраивает гейты.

Соответственно и результат: многие алгоритмы NAT traversal сносят эту безопасность просто нафиг, любой туннэль (в т.ч. например ipv6-teredo, который много где приползает просто с обновлениями ОС) просто не замечает эту безопасноть, ну и вообще отсутствие какого-либо контроля за дозволенным/недозволенным -- это смешно для обеспечения безопасности.

tzirechnoy October 15 2011, 10:46:56 UTC

Получи на хост внешний айпишник, пропихивай NATом в виртуалку нужные порты/протоколы.

linux007 October 17 2011, 09:22:06 UTC

тут