Příspěvky

31

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 21:29:20 »

Doplnění pro: Radek Zajíc

KVM host (server) běží na Manjaru

VMs jsou Linux Mint 20.1, W7 a W10

32

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 20:28:51 »

Jak velky problem je proste vymenit router za neco schopneho provozu s VLAN?
Jak je pripojeny PC? Kabelem nebo pres WiFi?
Ty virtualni stroje vyuzivaji pripojeni k lokalni siti v rezimu NAT nebo bridge?

Jakz-takz bezpecna varianta je:
- zmenit konfiguraci virtualniho stroje, aby pouzival rezim bridge (virtualni stroj musi dostat IP adresu primo z lokalni sité tedy asi 192.168.0.x)
- povolit na hostitelskem stroji (ne ve virtualu) netfilteru, aby na bridge filtroval pravidla (hledejte googlem "bridge-nf-call-iptables=1", je to sysctl nastaveni)
- pridat na spravne misto ve firewallu pravidla, aby virtualni stroj mohl pristupovat jen na gateway; pokud je gateway 192.168.0.1 a adresa stroje 192.168.0.128, pak to bude neco jako
iptables -A INPUT -s 192.168.0.128 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 0.0.0.0/0 -j ACCEPT

Konkretni realizace samozrejme zalezi na tom, jak se nastavuje firewall, jestli se treba nepouzivaji nftables, jaka distribuce se pouziva, atp.
Dal to taky neblokuje IPv6, takze scany po IPv6 porad budou mozne.

Tak mi to bohužel komunikuje nadále. VM používá bridge Macvtap s přiřazením názvu fyzické síťovky hosta (enp8s0). VM dostane od routeru adresu 192.168.0.14. Povolil jsem tedy sysctl net.bridge.bridge-nf-call-iptables=1 a napsal pravidla v pořadí jak jsi uvedl (samozřejmě s adresou 192.168.0.14). Je to divný, nevím proč to nejde.

33

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 20:04:04 »

Jak velky problem je proste vymenit router za neco schopneho provozu s VLAN?
Jak je pripojeny PC? Kabelem nebo pres WiFi?
Ty virtualni stroje vyuzivaji pripojeni k lokalni siti v rezimu NAT nebo bridge?

Jakz-takz bezpecna varianta je:
- zmenit konfiguraci virtualniho stroje, aby pouzival rezim bridge (virtualni stroj musi dostat IP adresu primo z lokalni sité tedy asi 192.168.0.x)
- povolit na hostitelskem stroji (ne ve virtualu) netfilteru, aby na bridge filtroval pravidla (hledejte googlem "bridge-nf-call-iptables=1", je to sysctl nastaveni)
- pridat na spravne misto ve firewallu pravidla, aby virtualni stroj mohl pristupovat jen na gateway; pokud je gateway 192.168.0.1 a adresa stroje 192.168.0.128, pak to bude neco jako
iptables -A INPUT -s 192.168.0.128 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 0.0.0.0/0 -j ACCEPT

Konkretni realizace samozrejme zalezi na tom, jak se nastavuje firewall, jestli se treba nepouzivaji nftables, jaka distribuce se pouziva, atp.
Dal to taky neblokuje IPv6, takze scany po IPv6 porad budou mozne.

Děkuji Radku! Vyzkouším. Vhledem k tomu, že je to fakt řešení velmi dočasné a na domácí použití, výměna routeru s vlan nedává smysl.

34

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 20:01:39 »

Ale já ho napsat dokážu 
Jen ti to nechci dát na stříbrném podnosu 

A KVM ... fuj :-D

Moc nechápu proč se tedy vůbec účastníš diskuse, když jediný tvůj výsledek je machrování bez ochoty naspat správně jeden řádek FW pravidla.

Věřím, že se najde někdo ochotný pomoci bez zbytečných keců okolo jako PanVP všeuměl.

35

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 19:46:25 »

Tak se teda pleteš.

Ukazoval jsem ti, jak se blokuje rozsah, ne konkrétní pravidlo a hotové řešení.
A KVM neznám.
Nevím, jak funguje, jestli vytváří virtuální switch, virtuální síťovky nebo mapuješ fyzické karty.
Budeš si to muset nastudovat a umístit si pravidla na správné místo.
Běžně používám VMware a občas HyperV.

Takže celou dobu ze sebe děláš bezpečnostního experta s tím, že pravidlo FW je řešení naoko a pak z tebe vypadne, že vlastně neumíš napsat ani to pravidlo FW. To je fakt vtip.

36

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 19:18:12 »

Takhle se blokuje celý rozsah:
iptables -A INPUT -s 192.168.0.0/24 -j DROP
/24 určuje masku, tj. pro Cčkovou masku.
Masku si můžeš šikovně upravit a máš vymalováno.
Pro tvůj účel by to mohlo stačit.

Tak se teda pleteš. Tímto zablokuješ KVM host/server, ale VMs komunikují se sítí nadále a naprosto v pohodě...

37

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 19:00:11 »

Sice nechápu proč naoko, ale budiž. Ano stačí mi tedy naoko - pravidlo iptables na KVM hostu/serveru. Když mi poradíš to pravidlo, rád si nechám vysvětlit, proč je to jen naoko. Děkuji.

38

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 18:38:19 »

Já nedělám žádnou herečku, není důvod.

Chci prostě někomu externímu zpřístupnit VM na pokusy pomocí Anydesk a nechci aby mi viděl na zbytek sítě. Toť vše.

Potřebuji to vyřešit přes iptables nebo něčím podobným. Izolace portů je nesmysl, protože pak moje jiná PC v síti neuvidí na server (KVM host).

39

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 17:25:59 »

Díky za odpověď, ale můj router neumí vlany...

Já bych potřeboval něco jako tohle:

když na VM přidám pravidlo: iptables -A OUTPUT -d  192.168.0.200 -j DROP zablokuju tím přístup VM na 192.168.0.200. Ale potřebovat bych tohle pravidlo udělat na KVM HOSTu, abych to nemusel na každý VM definovat zvlášť.

40

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 16:08:58 »

Stanici v lokální síti nikdo nehackne, protože v LAN jsem jenom já a z internetu není LAN dostupná.

Pokud někdo ví jak izolovat VMs s KVM NAT default network (192.168.122.0/24) od mé LAN (192.168.0.0/24) s tím aby VMs mohly přes router 192.168.0.1 na internet, budu vděčný.

Díky.

41

Sítě / KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 15:38:12 »

Prosím o radu, jde-li vyřešit následující:

Chtěl bych, aby určité VMs měly přístup pouze na internet, ale neviděly ostatní stanice v lokální síti.

Zkoušel jsem přes iptables, ale vůbec se mi nedaří. Ideální by byl nějaký NAT setup pro VMs tak, aby neviděly síť 192.168.0.0/24, kromě routeru 192.168.0.1.

Děkuji!

42

Bazar / Re:Nové PC Ryzen 5 3600, 16GB RAM, 500GB M2 SSD

« kdy: 19. 04. 2021, 16:53:20 »

Nová cena 10990,-

43

Bazar / Re:Prodám PC Ryzen 5 2400G, 16GB DDR4 RAM, SSD disk

« kdy: 19. 04. 2021, 11:38:47 »

Prodáno.

44

Odkladiště / Re:Setkáváte se z "updatofobií"?

« kdy: 17. 04. 2021, 18:48:33 »

Mám denní automatické zálohy, když to po update nejde, obnovím a pak když mám náladu řeším. Ale vždy mám možnost se po update/upgrade vrátit zpět.

45

Bazar / Prodám PC Ryzen 5 2400G, 16GB DDR4 RAM, SSD disk

« kdy: 16. 04. 2021, 10:37:54 »

PC v pěkném hifi casu je bez monitoru, klávesnice a myši (nová klávesnice + myš případně za +600 Kč). Cena 9900 Kč. Záruka 12 měsíců.

Procesor AMD Ryzen 5 2400G 3.6 GHz Quad-Core Processor, 4 Cores & 8 Threads, 3.6 Ghz Frequency, 3.9 GHz Maximum Turbo, Grafika Radeon™ RX Vega 11, Frequency, Operační paměť HyperX 16GB DDR4 3200MHz CL16 FURY series, základní deska AMD B450, socket AMD AM4, PCI Express 3.0, 2× PCIe x16, 1× PCIe x1, 4× DDR4 3600MHz (OC), 6× SATA III, 1ks M.2, USB 3.2 Gen 2, RJ-45 (LAN) 1Gbps, HDMI, DVI, 8ch zvuková karta, formát mATX (Micro ATX), 500 GB SSD disk 2.5", SATA III, TLC (Triple-Level Cell), rychlost čtení 562MB/s, rychlost zápisu 516MB/s.