KVM / Guest s přístupem na internet, bez přístupu do LAN

[HanzHanz]

Prosím o radu, jde-li vyřešit následující:

Chtěl bych, aby určité VMs měly přístup pouze na internet, ale neviděly ostatní stanice v lokální síti.

Zkoušel jsem přes iptables, ale vůbec se mi nedaří. Ideální by byl nějaký NAT setup pro VMs tak, aby neviděly síť 192.168.0.0/24, kromě routeru 192.168.0.1.

Děkuji!

[Reklama]

[PanVP]

Definuj si DMZ na samostatném segmentu sítě.
Firewall je pustí do netu.
Lokální stanice se na ně dostanou.
Vymalováno.

Až ti stanici v lokální síti někdo hackne, tak se tvým pravidlům v IPtables vysměje.

[HanzHanz]

Stanici v lokální síti nikdo nehackne, protože v LAN jsem jenom já a z internetu není LAN dostupná.

Pokud někdo ví jak izolovat VMs s KVM NAT default network (192.168.122.0/24) od mé LAN (192.168.0.0/24) s tím aby VMs mohly přes router 192.168.0.1 na internet, budu vděčný.

Díky.

[kotelgg]

Udělat VLAN (přiřazení VLAN tag na KVM) pro VMs, co nemají vidět dovnitř. VMs se stejným tagem mohou komunikovat, s jiným nebo žádným ne.
Na routeru se to musí ještě nějak pořešit.

Sorry, pil jsem 


https://elkano.org/blog/vlan-tagging-on-linux-for-kvm/

[HanzHanz]

Díky za odpověď, ale můj router neumí vlany...

Já bych potřeboval něco jako tohle:

když na VM přidám pravidlo: iptables -A OUTPUT -d  192.168.0.200 -j DROP zablokuju tím přístup VM na 192.168.0.200. Ale potřebovat bych tohle pravidlo udělat na KVM HOSTu, abych to nemusel na každý VM definovat zvlášť.

[Reklama]

[PanVP]

Routery umí i port isolation nebo client isolation.
Takže například nic připojeného do portu 4 nevidí do zbytku sítě, ale jen na net.

BTW, proč to oddělovat, když to nikdo nemůže hacknout?

Nedělej hérečku a popiš o co jde.

[HanzHanz]

Já nedělám žádnou herečku, není důvod.

Chci prostě někomu externímu zpřístupnit VM na pokusy pomocí Anydesk a nechci aby mi viděl na zbytek sítě. Toť vše.

Potřebuji to vyřešit přes iptables nebo něčím podobným. Izolace portů je nesmysl, protože pak moje jiná PC v síti neuvidí na server (KVM host).

[PanVP]

A chceš to chránit pořádně nebo jen tak naoko?
Jestli jen tak naoko, tak ty pravidla firewallu budou ok.
Jestli to chceš pořádně, pošlu návod, ale to řešení tě vyjde na 300 za zařízení.

[HanzHanz]

Sice nechápu proč naoko, ale budiž. Ano stačí mi tedy naoko - pravidlo iptables na KVM hostu/serveru. Když mi poradíš to pravidlo, rád si nechám vysvětlit, proč je to jen naoko. Děkuji.

[PanVP]

Takhle se blokuje celý rozsah:
iptables -A INPUT -s 192.168.0.0/24 -j DROP
/24 určuje masku, tj. pro Cčkovou masku.
Masku si můžeš šikovně upravit a máš vymalováno.
Pro tvůj účel by to mohlo stačit.

[veskotskujehnusne]

A reference, s kým se bavíme? Rád si zaplatím za kvalitu, tak šup sem s tím.

A chceš to chránit pořádně nebo jen tak naoko?
Jestli jen tak naoko, tak ty pravidla firewallu budou ok.
Jestli to chceš pořádně, pošlu návod, ale to řešení tě vyjde na 300 za zařízení.

[HanzHanz]

Takhle se blokuje celý rozsah:
iptables -A INPUT -s 192.168.0.0/24 -j DROP
/24 určuje masku, tj. pro Cčkovou masku.
Masku si můžeš šikovně upravit a máš vymalováno.
Pro tvůj účel by to mohlo stačit.

Tak se teda pleteš. Tímto zablokuješ KVM host/server, ale VMs komunikují se sítí nadále a naprosto v pohodě...

[PanVP]

Tak se teda pleteš.

Ukazoval jsem ti, jak se blokuje rozsah, ne konkrétní pravidlo a hotové řešení.
A KVM neznám.
Nevím, jak funguje, jestli vytváří virtuální switch, virtuální síťovky nebo mapuješ fyzické karty.
Budeš si to muset nastudovat a umístit si pravidla na správné místo.
Běžně používám VMware a občas HyperV.

[HanzHanz]

Tak se teda pleteš.

Ukazoval jsem ti, jak se blokuje rozsah, ne konkrétní pravidlo a hotové řešení.
A KVM neznám.
Nevím, jak funguje, jestli vytváří virtuální switch, virtuální síťovky nebo mapuješ fyzické karty.
Budeš si to muset nastudovat a umístit si pravidla na správné místo.
Běžně používám VMware a občas HyperV.

Takže celou dobu ze sebe děláš bezpečnostního experta s tím, že pravidlo FW je řešení naoko a pak z tebe vypadne, že vlastně neumíš napsat ani to pravidlo FW. To je fakt vtip.

[PanVP]

Ale já ho napsat dokážu 
Jen ti to nechci dát na stříbrném podnosu 

A KVM ... fuj :-D