Wie geht VMware Workstation ins netz

[peterfarge]

Hallo Forum,

kann es sein das VMware über den System Dienst ins Internet geht? Ich möchte in der Host Firewall den Internetverkehr beschränken. Die VMs kommen jedoch noch immer ins Internet. Auch wenn ich in der Windows Firewall den augehenden Traffic für alle Profile blockiere, alle Ausnahmeregeln ausschalte, trotzdem kann ich im Host lustig weiter surfen. Mit netstat -ano sehe ich über die PID 4 das System mit der Webseite verbunden ist die ich in der VM aufgerufen habe.

Kann ich dieses Verhalten irgendwie regeln? Ich möchte per Regel den VMs nur Zugriff auf das lokale Netzwerk gewähren, aber alle IP Adressen außerhalb von 192.168.0\24 verbieten. Ich weiß nicht wie ich das über die Desktop FW auf dem Host hinkriegen soll. Die Konfiguration soll auch funktionieren wenn ich unterwegs bin, am Router Einstellungen vornehmen bringt dann nichts. Was mir noch einfällt wäre zusätzlich die Firewall in den VMs auf diese Weise zu konfigurieren, ist dann aber arbeit die ich immer wieder vornehmen muß


Peter

[~thc]

Wie VMWare das technisch genau abwickelt, weiß ich auch nicht - unter VirtualBox ist es ein Filter-Treiber.

Ich habe das mit einer eigenständigen Firewall-VM (Minimales Debian, dnsmasq, eigene iptables-Tabellen) geregelt, die zwei Netzwerkkarten hat (red: LAN, green: internes VM-Netz) und alle VMs nur ans interne VM-Netz angeschlossen.

[rprengel]

Wie VMWare das technisch genau abwickelt, weiß ich auch nicht - unter VirtualBox ist es ein Filter-Treiber.

Ich habe das mit einer eigenständigen Firewall-VM (Minimales Debian, dnsmasq, eigene iptables-Tabellen) geregelt, die zwei Netzwerkkarten hat (red: LAN, green: internes VM-Netz) und alle VMs nur ans interne VM-Netz angeschlossen.

Wird gerne auch mit Ipco oder Astaro aufgebaut wenn man eine nette Gui haben will und vielleicht auch mal weitere Dinge testen will.
Gruss

[peterfarge]

Dann kann ich VMware also nur schlecht über die Deskop FW steuern. Hm...

Von IPCop habe ich schon viel im Bekanntenkreis gehört, aber noch nie selbst gesehen. Vor 10 Jahren hatte ich mal viel an einer fli4l und danach an OpenWRT gebastelt. Ich denke ich komme mit IPCop klar. Das wäre dann die 4te VM die ich bei der Arbeit am Laufen habe.

[Dayworker]

Sollen die VMs eigentlich noch irgendetwas anderes im Lan machen oder sind die nur für den Host von Interesse?
In diesem Fall könnte man den VMs auch nur das VMnet1 sprich Host-only als Netzwerkinterface geben und dann sehen diese ohne weiteres Routing nur noch den Host.

Wenn du unterwegs bist und dann vielleicht noch verschiedene Host-Netzwerkadapter sprich LAN und WLAN verwendest, mußt du in meinen Augen sowieso an der VMware-Netzwerkconfig basteln. Das bei sämtlichen VMware-Desktopprodukten aktive Auto-Bridging bindet ohne weitere Logic (keine Reihenfolge, kann also bei jedem Reboot wechseln) alle gefundenen Host-Nics ein. Falls dabei eine deaktivierte Nic als VMware-Bridge alias VMnet0 eingeloggt wird, hängen neben dem vorkonfigurierten VMware-NAT (VMnet8) und Host-only (VMnet1), auch allen anderen noch ungenutzten VMnetX mit an dieser Nic. Dadurch kann aber das Netzwerk in der VM logischerweise nicht richtig funktionieren und man wundert sich dann über weitere komische Nebeneffekte. Mit mehreren gleichzeitig aktiven Netzwerkkarten ist man also unweigerlich verdammt, die VMware-Bridge-Automatik abzuschalten und die vorhandenen Nics manuell einem freien VMnetX zuzuweisen. Andernfalls könnte die VM im falschen Netzwerkbereich landen und die VM somit völlig ungeschützt im Inet hängen.