Seite 1 von 1

Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)

Verfasst: 21.02.2018, 15:00
von Koch
Hallo allerseits,

ich bin mir sicher das dieses oder ein anderes, zielführendes Thema hier schon mal behandelt wurde aber ich finde leider nichts passendes.

Ich habe einen VMware Player (momentan 12.x) auf einem Host mit 4 Netzwerkkarten (NIC) laufen und möchte darauf eine VM mit 4 VMnet laufen lassen. Die Anwendung ist eine Firewall auf Basis OPNsense, welche mir mein Netz hinter dem DSL-Router in 3 weitere Zonen aufteilen soll. Wie ich die einzelnen VMnet auf die physikalischen NIC bridge habe ich gefunden.

Nun möchte ich den Host von der Kommunikation von drei der NIC's aussperren. Ziel ist es, dass der Host nur und ausschöliesslich in einem der vier Netze erreichbar ist. Damit möchte ich den Host als Umgehung der Firewall ausschliessen und die Nachteile einer virtualisierten Firewall etwas reduzieren.

Geht das? Wenn ja, wie?

Danke für eure Hilfe im Voraus

Andreas

Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)

Verfasst: 21.02.2018, 15:56
von MarroniJohny
Hi

Das geht so leider nicht im Player und der Workstation. Du kannst wohl mit dem vmware Netzwerk Editor mehrere Hostonly Netze machen (z.B. LAN und DMZ), um das Ganze auszuprobieren. Die erstellten Netze sind dann aber nur in weiteren Gästen verfügbar, nicht an den im Host verbauten NIC's. Macht ja auch keinen Sinn eine virtuelle FW, deren Netze am Host wieder zusammen laufen.

Ansonsten musst Du vSphere nehmen, da geht das von Dir gewünschte problemlos.

Naja, ich habe eben gesehen, dass Du das unter Linux machen willst. Da hast Du wohl mehr Möglichkeiten, als unter einem Windows Host. Kann sein, dass es geht mit den physikalischen Netzen. Dann müsstest Du an den betreffenden NIC's des Host das Gateway leer lassen, um zu verhindern, dass da darüber Netzwerkverkehr geht. Möglich: ja; Sinnvoll: nein

Was auch noch möglich wäre, obwohls ein Gefrickel ist: Du reichst USB NIC's exklusiv der Firewall VM durch. Das geht mit physischen NIC's leider nicht.

Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)

Verfasst: 21.02.2018, 17:55
von Koch
Hmmm... Das Standard Gateway leer lassen hilft ja nur bei Verkehr aus dem Netzt heraus. Ich möchte mich ja massgeblich gegen den Dunstkreis meiner Tochetr und ihren immer wieder verseuchten Rechner absichern. Die wären dann ja "drin".

Dann werde ich wohl auf den ursprünglichen Plan zurückkehren und es über VLAN ID´s regeln, welche ich dem Host nicht bekannt mache. Standard VLAN1 wird dann halt das (logische) Interface, auf welchem er erreichbar sein darf. Vielleicht kann man ja auch was auf dem Switch über ACL´s machen, aber übertreiben muss man es ja auch nicht. Es ist ja "nur" eine zusätzliche Sicherheitsebene.

Aber danke für die Info.

Gruß,

Andreas

Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)

Verfasst: 21.02.2018, 17:59
von ~thc
MarroniJohny hat geschrieben:Naja, ich habe eben gesehen, dass Du das unter Linux machen willst. Da hast Du wohl mehr Möglichkeiten, als unter einem Windows Host,


Man muss man unter Ubuntu dem NetworkManager abgewöhnen, die NICs zu konfigurieren. Dazu muss man in /etc/NetworkManager/NetworkManager.conf einen neuen Abschnitt einfügen:

Code: Alles auswählen

[keyfile]
unmanaged-devices=mac:00:11:22:33:44:55;mac:66:77:88:99:00:aa;mac:bb:cc:dd:ee:ff:00

Die drei MAC-Adressen sind dabei die Hardware-Adressen der drei NICs. Anschließend bleiben die Devices im Zustand "down" - ob der Bridge-Treiber des Players das dann so mag, musst du ausprobieren.

Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)

Verfasst: 21.02.2018, 19:14
von MarroniJohny
@~thc:

Aber unter Windows geht das nicht, verstehe ich das richtig?

Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)

Verfasst: 21.02.2018, 19:41
von Koch
Danke ~thc,

am Wochenende bau ich um und kann dann testen. Ich werde berichten.

Gruß,

Andreas

Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)

Verfasst: 21.02.2018, 20:15
von ~thc
MarroniJohny hat geschrieben:Aber unter Windows geht das nicht, verstehe ich das richtig?

Ja - man kann zwar alle Bindungen außer dem VMWare Bridge Treiber lösen, aber dann funktioniert die Karte nicht.