Seite 1 von 1
Alternative zu Iptables?
Verfasst: 06.12.2005, 15:12
von 2search
Hallo Leutz,
ich habe nen ESX Server installiert und würde jetzt gerne die Zugänge per IP Adressen beschränken. Sprich: Ich möchte eingrenzen, unter welchen IP's der ESX erreichbar ist. Da der ESX allerdings keine "iptables" unterstützt, weiß ich nicht genau, wo bzw. wie ich da am besten ansetze um das zu reallisieren....
kann mir bitte jemand weiterhelfen? danke,
2search
Verfasst: 06.12.2005, 16:15
von joe.hidden
ok, vielleicht verstehe ich die frage nicht aber:
der esx hat doch nur eine IP.
und die virtuellen maschinen gehen nicht durch das Consol-OS. also ist filtern auf der ebene sinnlos.
wenn du filteren willst, so richtig effektiv und auf die harte tour:
bauen eine zweiten switch ohne netzwerkkarte (NIC). setze alle VMS auf den Switch one netzwerkkarte. baue eine kleine neue VM mit z.B. IPCOP und zwei virtuellen NICS, eine (rot) auf dem ersten Switch (der mit netzwerk) und eine (grün) auf den zweiten Switch (der ohne Netzwerkkarte) und nun baue deine Regeln.
Verfasst: 06.12.2005, 16:34
von 2search
Hoi,
das Problem, weshalb iptables nützlich wären, ist:
Mein Testrechner ist in einem Verbund von vielen PC's, wo alle PC's untereinander einen Interconnect besitzen.
Ich glaube zwar nicht das etwas passiert - doch ich möchte das Risiko ausschliessen, das der ESX gehackt wird (da die IP von aussen zugänglich ist) und dadurch dann auf anderen Rechnern Unfug getrieben werden kann. Das Risiko ist nicht sehr groß, aber theoretisch machbar....
Die andere Lösung wär natürlich das man die ganze Maschine hinter eine FW stellt, angenehmer wären allerdings iptables etc....
bzw. irgendwie möchte ich festlegen - der ESX Console etc. ist nur durch die IP/Ip Bereich xxx.xxx.xxx.xxx erreichbar - mehr will ich eigentlich gar nicht
mfg,
2search
Verfasst: 06.12.2005, 17:11
von stgepopp
Hallo,
bau dir ein VLAN für das Service-Console-LAN oder ein physikalisches Management-LAN oder warte bis der ESX 3 kommt.
Erich
Verfasst: 08.12.2005, 09:32
von joe.hidden
jetzt hab ich verstanden was du errreichen willst .....
ok da gebe ich stgepopp recht, das ist die beste Möglichkeit.
Verfasst: 13.12.2005, 14:34
von chexma
Hi,
Frage in die Runde,
wenn es nur um die Eingrenzung der IPs geht die auf die Service Console zugreifen dürfen, könnte man dann nicht mit /etc/hosts.deny und /etc/hosts.allow arbeiten ?? Oder geht das nicht.
Habs beim ESX noch nicht getestet.
mfg
Andre
Verfasst: 13.12.2005, 15:45
von stgepopp
Hallo,
klar geht auch. Ich hab's soeben getestet.
Erich
Verfasst: 13.12.2005, 15:48
von chexma
Prima,
dann haben wir´s doch
Andre
Verfasst: 22.12.2005, 07:50
von 2search
Hi Leutz,
sorry, das meine antwort so spät kommt - Vielen Dank für die Hilfe, werd das demnächst ausprobieren....
mfg,
2search