Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.

Vsphere Host nur von Bestimmter dydns Erreichbar machen

Moderatoren: Dayworker, continuum, Tschoergez, irix

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Vsphere Host nur von Bestimmter dydns Erreichbar machen

Beitragvon Stefan.r » 27.06.2016, 11:54

hallo,
undzwar beschäftigt mich die Frage ob ich Ohne Externe Firewall den Server so absichern kann das man auf den Host nur mir einer bestimmten IP/dydns kommt, die Vms(da hat jede eine eigene Ip durch das Subnet) aber Unangetasted bleiben.

LG
Stefan

Jenseits von Gut & Böse
Beiträge: 11465
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 27.06.2016, 12:54

Ja in dem Security Profile kannst du fuer die Dienste eine IP/Range hinterlegen.

- Du hast doch aber keine feste IP oder?
- Die Anzahl der Dienste muesste man muehsam finden
- Dienste auf dem ESXi werden ja je nach Bedarf erst gestartet

Hört sich irgendwie noch nicht nach einer guten Loesung an.

Gruss
Joerg

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Beitragvon Stefan.r » 27.06.2016, 13:10

naja wegen der ip würde ich gerne nen dydns eintragen, normale Iptables supporten Das ja, Frage wäre nur ob der Esx das auch tut und ob ich wenn ich da die Einträge setze nicht auch gleich allle Vms da drauf am internet hindere.

Habe hier das Problem das mein Chef die Hardware Firewall sparen möchte und ich wege suche das ding Abzusichern.

lg
Stefan

Experte
Beiträge: 1955
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 27.06.2016, 15:01

Stefan.r hat geschrieben:naja wegen der ip würde ich gerne nen dydns eintragen, normale Iptables supporten Das ja

Wie genau meinst du das? Wenn du in iptables eine dyndns-Adresse angibst, trägt er die nur aktuelle IP ein. Beim nächsten IP-Wechsel ist die Regel obsolet.

Stefan.r hat geschrieben:Habe hier das Problem das mein Chef die Hardware Firewall sparen möchte und ich wege suche das ding Abzusichern.

Ein vSphere-Host gehört nicht direkt ins Internet. Alles andere ist fahrlässig. Es darf auch ein Consumer-Grade-INet-Router oder eine Software-Firewall sein.

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Beitragvon rprengel » 27.06.2016, 15:39

Stefan.r hat geschrieben:
Habe hier das Problem das mein Chef die Hardware Firewall sparen möchte und ich wege suche das ding Abzusichern.

lg
Stefan


Wenn kommerziell und kostenlos dann IPCOP für den Einstieg.
Alter PC + 2 bis 4 Netzwerkkarten und alles ist gut.
Probleme kann es geben wenn die Netzwerklast das System ans Limit bringt. Dann muss halt ein stärkerer PC ran.
ESX direkt ins Internet ist ein untrügöiches Zeichen völliger Inkompetenz, gerne kombiniert mit einer ausgeprägteb Beratungsresistenz.
Wenn du das umsetzten muss lasses dir ausdrücklich schriftlich geben. Nür für den Fall das mal ein Bauernopfer gesucht wird.
Un nein die Gäster gehören auch nicht direkt ins Internet. sonden laufen auch über die Firewall.

Gruss

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Beitragvon Stefan.r » 27.06.2016, 16:06

~thc hat geschrieben:
Stefan.r hat geschrieben:naja wegen der ip würde ich gerne nen dydns eintragen, normale Iptables supporten Das ja

Wie genau meinst du das? Wenn du in iptables eine dyndns-Adresse angibst, trägt er die nur aktuelle IP ein. Beim nächsten IP-Wechsel ist die Regel obsolet.

realy? muss ich morgen mal checken, weil ich den Nagios NRPE eigentlich so eingerichtet habe(glaube ich muss nochmal schauen)

Stefan.r hat geschrieben:Habe hier das Problem das mein Chef die Hardware Firewall sparen möchte und ich wege suche das ding Abzusichern.

Ein vSphere-Host gehört nicht direkt ins Internet. Alles andere ist fahrlässig. Es darf auch ein Consumer-Grade-INet-Router oder eine Software-Firewall sein.


Angebot 2 was wir haben wäre das Management (meint wohl port 443) mit nem ssl vpn abgesichert

lg
Stefan

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Beitragvon rprengel » 27.06.2016, 16:23

Stefan.r hat geschrieben:
Angebot 2 was wir haben wäre das Management (meint wohl port 443) mit nem ssl vpn abgesichert

lg
Stefan


Ipcop kann auch VPN
es gibt auch noch smoothwall

Gruss

Experte
Beiträge: 1301
Registriert: 30.03.2009, 17:13

Beitragvon UrsDerBär » 27.06.2016, 16:42

~thc hat geschrieben:Wie genau meinst du das?
Na dass er eine DNS Adresse und nicht eine IP-Adresse eintragen möchte.

Dass dies Quatsch ist, wurde ja bereits gesagt. Waren auch schon einige hier von einem vShere Hack betroffen wenn ich mich richtig erinnere. Wenn dann bitte also z.B. ne VPN-Box davor hängen. Dürfte technisch die einfachste Lösung sein.
Gibt da fixfertige Plug-N-Play-Hardware-Teile die z.B. für Maschinenwartungen verwendet werden. Das dürfte hier auch ned verkehrt sein zumal denen Dynamic IP's egal sind.

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Beitragvon rprengel » 27.06.2016, 17:24

UrsDerBär hat geschrieben:
~thc hat geschrieben:Wie genau meinst du das?
Na dass er eine DNS Adresse und nicht eine IP-Adresse eintragen möchte.

Dass dies Quatsch ist, wurde ja bereits gesagt. Waren auch schon einige hier von einem vShere Hack betroffen wenn ich mich richtig erinnere. Wenn dann bitte also z.B. ne VPN-Box davor hängen. Dürfte technisch die einfachste Lösung sein.
Gibt da fixfertige Plug-N-Play-Hardware-Teile die z.B. für Maschinenwartungen verwendet werden. Das dürfte hier auch ned verkehrt sein zumal denen Dynamic IP's egal sind.


Abgesehn davon könnte auch so ein dyndns-Dienst klemmen.
Und dann wird es schäbig wenn man keinen Plan B hat um an die Systeme zu kommen.
Gruss

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Beitragvon Stefan.r » 28.06.2016, 09:09

rprengel hat geschrieben:
UrsDerBär hat geschrieben:
~thc hat geschrieben:Wie genau meinst du das?
Na dass er eine DNS Adresse und nicht eine IP-Adresse eintragen möchte.

Dass dies Quatsch ist, wurde ja bereits gesagt. Waren auch schon einige hier von einem vShere Hack betroffen wenn ich mich richtig erinnere. Wenn dann bitte also z.B. ne VPN-Box davor hängen. Dürfte technisch die einfachste Lösung sein.
Gibt da fixfertige Plug-N-Play-Hardware-Teile die z.B. für Maschinenwartungen verwendet werden. Das dürfte hier auch ned verkehrt sein zumal denen Dynamic IP's egal sind.


Abgesehn davon könnte auch so ein dyndns-Dienst klemmen.
Und dann wird es schäbig wenn man keinen Plan B hat um an die Systeme zu kommen.
Gruss



mhm okay, was ist mit der Idee nur die Management Service per vpn abzusichern?, das würde datafabrik.de nämlich schon mit drin anbieten(muss mich ja leider den Vorgaben beugen auch wenn ichs nicht möchte)

lg
Stefan

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Beitragvon rprengel » 28.06.2016, 09:31

Stefan.r hat geschrieben:

mhm okay, was ist mit der Idee nur die Management Service per vpn abzusichern?, das würde datafabrik.de nämlich schon mit drin anbieten(muss mich ja leider den Vorgaben beugen auch wenn ichs nicht möchte)

lg
Stefan


Systeme sollten NIEMALS ohne vorgeschaltete Firewall aus dem Internet erreichbar sein.
Was zur Not noch geht ist einen ESX Gast als Firewall zu nutzen aber das ist eigentlich nur im privaten Umfeld akzeptabel.
Nimmt euch jemand von aussen ein Gastsystem hoch kann er versuchen weitere Gäste oder den Host zu übernehmen.
Weiter ist es nur eine Frage der Zeit das versehentlich oder absichtlich weitere Dienste auf Gästen gestartet werden die dann von aussen ereichbar sind.
Gerne genommen ist da RDP weil ist ja so schön bequemsich mal eben von aussen einzuwählen.
Gruss

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Beitragvon Stefan.r » 28.06.2016, 11:55

okay, nach dem tellen hat sich herausgestellt das es sich um ein Missverständnis handelte, der Vsphere wird in beiden Fällen nur per VPN erreichbar sein(es ist "lustig" das unser alter Anbieter Hosteurope den einfach so ins Web gehängt hat)

Des Rest also die Vms kann ich mit Iptables absichern

Guru
Beiträge: 2617
Registriert: 27.12.2004, 22:17

Beitragvon rprengel » 28.06.2016, 12:04

Stefan.r hat geschrieben:okay, nach dem tellen hat sich herausgestellt das es sich um ein Missverständnis handelte, der Vsphere wird in beiden Fällen nur per VPN erreichbar sein(es ist "lustig" das unser alter Anbieter Hosteurope den einfach so ins Web gehängt hat)

Des Rest also die Vms kann ich mit Iptables absichern


Was soll ein Hoster sonst ohne grossen Aufwand machen?
Aber gut das bei dir das Thema durch ist.

Gruss

Member
Beiträge: 146
Registriert: 01.12.2015, 18:35

Beitragvon Stefan.r » 28.06.2016, 12:14

naja ich gehe mal von aus da ich nichtmal nen vpn brauchte das unser alter eben doch einfach im Netz hing obwohl es eigentlich ein Managed Vsphere war.

jedenfalls trotzdem allem vielen Dank für die Klärung meiner Fragen.

LG
Stefan


Zurück zu „vSphere 5.5 / ESXi 5.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste