IPCOP unter VMware nach dem CT-Artikel auf Linux-Wirt

[vmtom]

Hallo Liste,
ich habe nach dem Artikel und den diversen Infos hier im Forum erfolgreich das Gesamtsystem aufsetzen können. Alles funktioniert soweit, ich habe aber noch ein Problem auf dem Linux-Wirt: Auch dessen Verbindungen ins Internet sollen ja ausschließlich via IPCOP gehen. In den Artikeln ist beschrieben, das man bei einem WIN-Host das TCP/IP-Protokoll von der Netzwerkarte entbinden soll. Durch das entsprechende route-Kommando kann ich die Verbindungen von Wirt ins Internet via IPCOP routen, aber noch hat ja die am Internet hängende Karte eine (eigene) IP-Adresse. Das scheint mir ein Sicherheitsrisiko zu sein. Leider kenne ich mich mit ifconfig nicht so gut aus, dass ich das Entbinden des Protokolls auch unter Linux machen kann. Hat einer der Experten dazu einen Tipp? Zur Zeit hat bei mir das Interface eth0 des Linux-Wirts eine IP-Adresse (via DHCP geholt ) und das entsprechende rote Device von IPCOP ebenfalls (aber eine andere, ebenfalls via DHCP geholt). Eigentlich müsste doch nun die IP-Adresse des Wirts gelöscht werden, damit dieser keine Pakete, die an seine IP-Adresse gehen, annehmen kann. Oder habe ich da einen Denkfehler?
Im Voraus vielen Dank
Tom

[MSueper]

Hallo,
eine einfache und mir ausreichende Lösung scheint es zu sein, dem Interface eine feste IP zu geben, die nicht ins Internet passt: z.B. 192.168.x.y oder 10.xxx
Je nach Distribution kann das dann über die graphischen Tools für's Netzwerk gemacht werden. Bei Suse wäre es YaST.
Bei mir tägt man die IP manuell hier ein:
/etc/sysconfig/network-scripts/ifcfg-eth0

Grüße, Martin

[Mauze]

Hallo,

genau wie MSueper schon gesagt hat.
Dabei habe ich eine Netzwerkadr. benutzt die überhaupt keinen Sinn macht, das Netz ist dabei nur 1-Bit breit (netmask 255.255.255.254), die broadcat ist 0.0.0.0 und spielt nicht mehr mit.

Als weiteres Sicherheitsrisiko mußt Du noch mit iptables kommenden Verkehr im Host von diesen Interface, sowie dem virtuellen Interface des Hosts im orangen Netz abblocken. Damit sich die NIC's des Hosts nicht verschieben können solltest Du diese außerdem fest zu einer MAC verknüpfen, ansonsten könnte sich z.B. nach einem Reset der BIOS-PCI-DATEN plötzlich das grüne Interface am Internet-Anschluss befinden.

Der Host läuft bei mir Software-Raid-1, VMware selber wird auf Console F8 in einer eigenen X-Session im Runlevel 5 gestartet, Per VNC habe ich remote (grün) Zugriff auf Console F8.

PS: Beachte außerdem allgemeine Sicherheitsregeln für die Server in der DMZ.

Mauze

[vmtom]

Hallo MSueper und Mauze,
prima, es hat geklappt. Ich musste allerdings noch den Adapter zum Internet in den Promiscuous-Mode schalten (iface eth0 promisc), nun hat dieser Adapter auf dem Wirt gar keine IP mehr, also noch besser.
Kleiner Schönheitsfehler: Ein "route add default gw 192.168.2.2" muß ich nun nach jedem Boot eingeben, sonst findet der Wirt nicht den Weg ins Internet.

Aber nun macht mich der Satz von Mauze neugierig:

VMware selber wird auf Console F8 in einer eigenen X-Session im Runlevel 5 gestartet,

Kannst Du den Weg näher beschreiben? Wenn ich eine .sh-Datei anlege, um vmware am Ende des Boot-Prozesses zu starten, wird die ja als root ausgeführt. Da bekomme ich aber Probleme mit der fehlenden Verbindung zur X-Session: xlib: connection to ":0.0" refused by server
Deshalb muß ich mich nun aktiv einloggen als User und dann vmware starten. Oder geht das automatische Starten wirklich nur bei GSX-Server?
Gruß Tom

[Mauze]

Ich stelle das gleich ins Forum, meine Frau hat das Essen fertig.

[Mauze]

TEIL-1 (Installation von VMware unter Debian-Sarge)
-hier gibt auch noch andere Möglichkeiten, wenn ich aber alles poste, dann wird der Zusammenhang besser verständlich.

Code: Alles auswählen

#-Nach der Installation von VMware sind unter DEBIAN-Sarge noch folgende Einstellungen notwendig
#-Die Installation sollte nach /opt/VMware/bin erfolgen

# 1.) Script in /etc/init.d/vmware erweitern (nur die 4 Zeilen by JUU)
# -Notwendig, damit VMware nicht doppelt gestartet wird

# See how we were called.
case "$1" in
  start)
   if [ -e "$vmware_etc_dir"/not_configured ]; then
      echo "`vmware_product_name`"' is installed, but it has not been (correctly) configured'
      echo 'for the running kernel. To (re-)configure it, invoke the'
      echo 'following command: '"$vmdb_answer_BINDIR"'/vmware-config.pl.'
      echo
      exit 1
   fi
   if vmware_inVM; then
      # Refuse to start services in a VM: they are useless
      exit
   fi
   # by JUU 2005-02-02
   if [ "`isLoaded "$driver"`" = 'yes' ]; then
     echo "JUU: $driver is already loaded. Don't start VMware again"
     exit
   fi
   echo 'Starting VMware services:'


# 2.) VMware soll in jedem Multiuser-Level gestartet
# -defaults durch Installation von VMware
# ./rc2.d/S90vmware
# ./rc6.d/K08vmware
# -eigene Erweiterungen
ln -s /etc/init.d/vmware /etc/rcS.d/K08vmware
ln -s /etc/init.d/vmware /etc/rc0.d/K08vmware
ln -s /etc/init.d/vmware /etc/rc1.d/K08vmware
ln -s /etc/init.d/vmware /etc/rc2.d/S90vmware
ln -s /etc/init.d/vmware /etc/rc3.d/S90vmware
ln -s /etc/init.d/vmware /etc/rc4.d/S90vmware
ln -s /etc/init.d/vmware /etc/rc5.d/S90vmware
ln -s /etc/init.d/vmware /etc/rc6.d/K08vmware

# 3.) Einträge in /etc/devfs/devices erzeugen
#JUU 2005-01-31: Damit VMware devices nach dem booten noch in /dev sind
vmnet0 c 119 0 0 0 0660
vmnet1 c 119 1 0 0 0660
vmnet2 c 119 2 0 0 0660
vmnet3 c 119 3 0 0 0660
vmnet4 c 119 4 0 0 0660
vmnet5 c 119 5 0 0 0660
vmnet6 c 119 6 0 0 0660
vmnet7 c 119 7 0 0 0660
vmnet8 c 119 8 0 0 0660
vmnet9 c 119 9 0 0 0660


# 4.) Font für VMware (wenn xfonts-75dpi-transcoded nicht installiert, dann ist das VMware-UI nur in kleinster Schrift vorhanden)
apt-get install xfonts-100dpi xfonts-100dpi-transcoded xfonts-75dpi xfonts-75dpi-transcoded

# 5.) Pfad in /root/.profile und /etc/profile ergänzen mit /opt/VMware/bin
vi /root/.profile /etc/profile

# 6.) Keyboard Mapping, siehe Handbuch Seite 289
# -Wenn über X-Server remote auf einem anderen Rechner ein VM gestartet wird, dann muss auf der entfernten
#  Machine folgende Konfiguration angelegt werden, ansonsten geht z.B. kein "\" Zeichen.
#  -Der erste Eintrag ist fuer Xfree86, der zweite fuer andere X-Server (z.B. CygWin von Windows aus)
echo "xkeymap.usekeycodeMapIfXfree86=true" >> /root/.vmware/config
echo "xkeymap.usekeycodeMap=true" >> /root/.vmware/config

echo "xkeymap.usekeycodeMapIfXfree86=true" >> /home/username/.vmware/config
echo "xkeymap.usekeycodeMap=true" >> /home/username/.vmware/config

vi /root/.vmware/config /home/username/.vmware/config


# 7.) Wenn eine parallele Schnittstelle benötigt wird, dann ist diese aus dem Drucksystem zu entfernen
# -z.B.: dpkg-reconfigure cupsys
# -Bootparameter lp=0  für kernel in /boot/grub/menue.lst ebenfalls setzen
#
# Bootparameter hat bei mit nicht geholfen, irgendein dummer Sack läd den "lp" noch. Man kann das Kernel-Modul
# jedoch mit "modprobe -r lp" entladen. Mir war das jedoch zu blöd, habe einfach den Kernel geändert, so das
# das Modul lp nicht mehr erzeugt wird. -> Device Driver -> Character Driver -> Parallel Printer Support = N

Mauze[/code]

[Mauze]

TEIL-2 (autostart VMware on Console F8)

Datei für auto. Start anlegen

Code: Alles auswählen


#!/bin/sh
#
# /etc/init.d/vm-autostart
# 2005-02-24  MeinName, Script erstellt
#
###################################################
# automatic starting vmware on x-server console 2 #
###################################################
#
# for automatic starting vmware only in run-level 5 (calling from here: /etc/init.d)
#
# ln -s ../init.d/vm-autostart ../rc0.d/K07vm-autostart
# ln -s ../init.d/vm-autostart ../rc1.d/K07vm-autostart
# ln -s ../init.d/vm-autostart ../rc2.d/K07vm-autostart
# ln -s ../init.d/vm-autostart ../rc3.d/K07vm-autostart
# ln -s ../init.d/vm-autostart ../rc4.d/K07vm-autostart
# ln -s ../init.d/vm-autostart ../rc5.d/S99vm-autostart
# ln -s ../init.d/vm-autostart ../rc6.d/K07vm-autostart
# ln -s ../init.d/vm-autostart ../rcS.d/K07vm-autostart
#

# Wait 30 times of this value before starting X-server and vmware
# -because of all services must be running
VM_START_SLEEP=1

# VMware starting parameter
VM_START="-x -q /usr1/VMWARE/IpCop/IpCop.vmx -x -q /usr1/VMWARE/DmZone/DmZone.vmx"
#VM_START="-x -q /usr1/VMWARE/IpCop/IpCop.vmx"

# used path and name of logfile
PATH=/bin:/usr/bin:/usr/bin/X11:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin:/opt/vmware/bin
VMAUTOSTARTLOG=/var/log/vmautostart

case "$1" in
  start)
    echo -n "autostart vmware...  "
    echo "try to automatic starting virtual machines... (clean logfile)..." > $VMAUTOSTARTLOG 2>&1

    if [ ! "$VM_START_SLEEP" == "0" ]; then
        echo -n "(wait." | tee -a $VMAUTOSTARTLOG 2>&1
        for i in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30; do
            sleep $VM_START_SLEEP
            echo -n "." | tee -a $VMAUTOSTARTLOG 2>&1
        done
        echo -n ")  " | tee -a $VMAUTOSTARTLOG 2>&1
    fi

    #startx /opt/VMware/bin/vmware $VM_START -- :1 -depth 16 &
    startx /opt/VMware/bin/vmware $VM_START -- :1 -screen VMwareScreen  >> $VMAUTOSTARTLOG 2>&1  &
    echo "...autostart vmware finished" | tee -a $VMAUTOSTARTLOG 2>&1
  ;;

  restart)
    /etc/init.d/vm-autostart stop
    /etc/init.d/vm-autostart start
  ;;

  stop)
    echo -n "try to stop vmware..."
    echo  "  stopping virtual machines..."
    # you must shutdown your virtual machines here (e.g. by rcmd or other)
    echo  "stopping vmware and x-server..."
  ;;

  *)
    echo "usage: /etc/init.d/vm-autostart {start|stop|restart}"
    exit 1
    ;;
esac

exit 0


Die X11-Konfiguration ist noch anzupassen
(extra wenig Pixel und Farbtiefe, weil VNC sehr langsam ist)

Code: Alles auswählen

#Dieser Screen wird für F8 (VM-Ware) benutzt
Section "Screen"
    Identifier  "VMwareScreen"
    Device      "ATI Technologies, Inc. 3D Rage Pro AGP 1X/2X"
    Monitor     "Medion"
    DefaultDepth    16
    SubSection "Display"
        Depth       16
        Modes       "800x600" "640x480"
    EndSubSection
    # JUU: for VNC
    Option "passwordFile" "/home/username/.vnc/passwd"
EndSection


VNC installieren

Code: Alles auswählen

# VNC
apt-get install vnc4server xvnc4viewer


Viel Spaß beim basteln
Mauze

[vmtom]

Hallo Mauze,
ich hoffe, das Essen hat geschmeckt...
Vielen Dank für die Infos, ich werde es heute abend mal ausprobieren. Statt VNC verwende ich übrigens den NX-Client von Nomachine und den FreeNX-Server. Der soll ja angeblich noch sparsamer mit der Bandbreite umgehen.

[Mauze]

Hallo vmtom,

"iface eth1 promisc" funktioniert bei mir nicht, finde auch keine manuals dazu. Frage welches Linux setzt Du im Wirt ein.

Jetzt mache ich die Büchse aus und gehe in meinen Kleingarten.

PS: Hast Du evtl. auch Probleme mit der Uhrzeit im Webserver-Gast (Debian-Sarge 2.6 Kernel), habe hier schon extra einen eigenen Kernel gemacht. Wird zwar alles immer etwas besser, aber ich muss die Uhr trotzdem alle 15 Minuten mittels NTP stellen.

Mauze

[vmtom]

Hallo Mauze,
ich setze eine Debian Sarge ein, und zwar eine installierte Version der Kanotix-CD (www.kanotix.com). Die läßt sich sehr einfach auf einen leeren Rechner bringen und dann anpassen. Es ist eine modernisierte Knoppix-Variante, die sich einfacher auf FP installieren lässt.
Bzgl. iface war ich etwas schnell, sorry:
Auf der Kommandozeile kann ich (wenn eth0 beim booten noch nicht eingerichtet wurde) mit

Code: Alles auswählen

ifconfig eth0 promisc up

den Adapter starten. Lt. man ifconfig liest er dann alle IP-Pakete mit, hat aber keine IP.
Alternativ geht es auch, in dem man in /etc/network/interfaces hineinschreibt:

Code: Alles auswählen

iface eth0 promisc.

Aber zumindest bei mir geht die erste Variante besser.
Mit der Uhrzeit habe ich bislang keine Probleme. Die Gästeuhren laufen ordentlich mit, aber dafür klappt bei mir der ntp-Synchronisation mit einem Zeitserver nicht. Muss ich mir bei Gelegenheit mal ansehen.
Gruesse an die Pflanzen im Kleingarten
Tom

[Mauze]

Hallo vmtom,

Mit dem ifconfig probiere ich die Tage nochmal (Erstmal Danke).

Bei Zeitserver, DNS, SMTP, usw. im orangen Netz ist zu beachten, das Du hier Server aus dem Internet nehmen musst.

Mauze

[vmtom]

Hallo Mauze,
Deine Gebrauchsanweisung kann ich leider nicht 1:1 umsetzen, z.B. ist bei mir die Directory-Struktur hier anders:

# 3.) Einträge in /etc/devfs/devices erzeugen
#JUU 2005-01-31: Damit VMware devices nach dem booten noch in /dev sind
vmnet0 c 119 0 0 0 0660
vmnet1 c 119 1 0 0 0660

Ausserdem weiss ich noch nicht, wie ich die Zeilen

Code: Alles auswählen

vmnet0 c 119 0 0 0 0660

verwenden sollte. Befehle sind es ja wohl nicht.
Kannst Du mal bitte die Quelle posten, von der Du das hast? Die Änderungen von JUU bauen ja offensichtlich auf einer weiteren Quelle auf.
Danke noch mal
Tom

[Mauze]

Hallo vmtom,

wo ich die Information her habe, kann ich nicht mehr sagen. Mit Sicherheit stammen aber eine hier aus diesem Forum.
Ich setze ein aktuelles DEBIAN-Sarge ein, ausser VMware sind auf der Büchse nur Pakete dieser Distribution (2 DVD's mit jigdo aus dem Inet gezogen) enthalten.


Das Thema mit den (dyn.) Devices ist leider nicht ganz so einfach, ich habe hier einfach den für mich einfachsten Weg gewählt. Je nach Distibution/Installation/Kernel kann es hier ein defs und ein udev geben, gerade an dieser Stelle habe ich selber einige Stunden fest gehangen.

Wenn Du die ultimative Lösung findest, dann poste sie doch mal hier.

PS: JUU ist mein Source-Kürzel

Mauze