Xen mit privatem und öffentlichen Netzwerk

[cjs1976]

Hallo!

Ich habe einen Rootserver mit nur einer Netzwerkkarte und 4 statischen öffentlichen IP-Adressen von meinem Hoster. Auf dem Server läuft ein Debian 8 mit Xen.

Im Internet fand ich nur Anleitungen, wie ich diese IP-Adressen direkt an die Xen-Bridge und damit an die virtuellen Maschinen weiterreiche, das ist aber nicht was ich will.

Meine Idee ist ein öffentliches Netzwerk (eth0) mit den 4 statischen IP-Adressen des Hosters zu erstellen, und dann noch eine Bridge für Xen einzurichten. Alle virtuellen Server sollen die gleiche Bridge verwenden, die IP-Adressen der virtuellen Server vergebe ich manuell im jeweiligen Betriebssystem (zB im Bereich 10.0.0.*).

Damit sollte von Außen erst Mal niemand die virtuellen Server erreichen können.

Im nächsten Schritt würde ich dann per iptables regeln, welche virtuellen Server über welche öffentliche IP-Adresse ins Internet kommen, und über welche öffentliche IP-Adresse und Port ein virtueller Server von Außen erreichbar ist. Ich dachte da evtl. an die Verwendung von FireHOL.

Nach mehreren gescheiterten Versuchen, bin ich jetzt zu folgender interfaces-Konfiguration gekommen (ist jetzt nur eine Testumgebung, wo die öffentlichen Adressen natürlich nicht öffentlich sind, die hängen in meinem Netzwerk zum Testen):

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
allow-hotplug eth0
iface eth0 inet static
    address 192.168.0.100
    netmask 255.255.255.0
    gateway 192.168.0.1
    up   ip addr add 192.168.0.101/24 dev $IFACE label $IFACE:0
    down ip addr del 192.168.0.101/24 dev $IFACE label $IFACE:0
    up   ip addr add 192.168.0.102/24 dev $IFACE label $IFACE:1
    down ip addr del 192.168.0.102/24 dev $IFACE label $IFACE:1
    up   ip addr add 192.168.0.103/24 dev $IFACE label $IFACE:2
    down ip addr del 192.168.0.103/24 dev $IFACE label $IFACE:2

# XEN bridge
auto xenbr0
iface xenbr0 inet manual
    pre-up brctl addbr $IFACE
    up ip link set $IFACE up
    post-down brctl delbr $IFACE
    down ip link set $IFACE down

Es ist ein frischer Debian 8, ohne irgendwelche Zusätze. Es wurde nur SSH bei der Installation ausgewählt. Ich habe mir dann noch die bridge-utils installiert, aber sonst wurde nichts gemacht und auch nicht umkonfiguriert.

Die Anleitungen im Internet haben immer ganz viele Sachen bei der Netzwerkkonfiguration gemacht/hinzugefügt, und ich weiß jetzt nicht, ob meine einfache Konfiguration so korrekt ist. Im nächsten Schritt würde ich mich jetzt um die iptables-Konfiguration (evtl. mit FireHOL) kümmern.

Sicherheitshalber wollte ich aber hier im Forum bei den Spezialisten nachfragen, ob ich auf dem richtigen Weg bin, oder ob meine aktuelle Konfiguration Mist ist. Vielleicht habe ich ja auch irgendwo einen Denkfehler. Wie gesagt, ich konnte keine passende Beschreibung im Internet finden, und darum muss ich mir jetzt selber etwas zusammenbauen.

Vielen Dank,
Christian.

[GregorS]

Meine Idee ist ...

Ich habe in meinem LAN ebenfalls einige VMs, die ich aber nicht mittels einer Bridge verbunden habe, sondern mit einem passenden Satz an iptables-Regeln. Eine Bridge wollte ich nicht verwenden, weil das einen Rechner quasi zum Switch macht.

Nachteil meines Vorgehens ist, dass es ein bisschen aufwendig ist, das einzurichten und zu pflegen (wenn VMs hinzukommen oder wegfallen).
Vorteil ist, dass ich die volle Kontrolle darüber habe, welche VM mit welchem Host im LAN was machen kann.

Meine Merkzettel von damals habe ich zu ein paar Seiten aufgeblasen, die vielleicht hilfreich sind: http://html.szaktilla.de/qemu/0.html

HTH

Gregor