Netzwerkkarte an KVM Gast mit Bridge durchreichen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
slu
Beiträge: 2240
Registriert: 23.02.2005 23:58:47

Netzwerkkarte an KVM Gast mit Bridge durchreichen

Beitrag von slu » 24.04.2012 22:07:53

Ich möchte gerne ein VLAN über die Netzwerkkarte des KVM Wirtes per Bridge an den KVM Gast "durchreichen".
Stimmt die Konfiguration? Ich kann im Moment das richtige System noch nicht aufbauen und bin am planen.

eth1-3 hängen am LAN Switch
eth4 hängt an einem extra Switch der VLANs hat und direkt mit der Firewall verbunden ist.

Ziel soll es sein einen KVM Gast direkt vom Internet erreichbar zu machen ohne das man auf den KVM Wirt oder ins LAN kommt.

Code: Alles auswählen

auto eth4
iface eth4 inet manual

auto eth4.100
iface eth0.100 inet manual
vlan_raw_device eth4

auto br4.100
iface br4.100 inet manual
bridge_ports eth4.100
bridge_stp off
bridge_maxwait 0
bridge_fd 0
Auf das LAN sowie den KVM Wirt sollte man nicht zugreifen können da alle Interface auf manual stehen und somit keine IP Adresse haben (eine Firewall ist hier nicht nochmal geplant).
Der KVM Gast sollte nun jedoch direkt eine IP Adresse (DHCP) von der Firewall bekommen.

Habe ich was vergessen?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Nach oben
chrootlogin
Beiträge: 9
Registriert: 22.04.2012 12:56:55

Re: Netzwerkkarte an KVM Gast mit Bridge durchreichen

Beitrag von chrootlogin » 25.04.2012 09:44:08

Ich glaube es würde reichen, wenn du folgendes machst.

Code: Alles auswählen

auto br4
iface br4 inet manual
bridge_ports eth4.100
bridge_stp off
bridge_maxwait 0
bridge_fd 0
Denn das VLAN hast du meiner Meinung nach schon auf dem Interface gesetzt.

Aber sonst, denke ich, klappt das so...
Nach oben
slu
Beiträge: 2240
Registriert: 23.02.2005 23:58:47

Re: Netzwerkkarte an KVM Gast mit Bridge durchreichen

Beitrag von slu » 25.04.2012 19:04:50

Ich glaube es würde reichen, wenn du folgendes machst.
Ich teste das und geb hier Rückmeldung.

Der KVM Wirt is mangels IP nicht angreifbar und es gibt auch keinen Weg das zu ändern, richtig?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Netzwerkkarte an KVM Gast mit Bridge durchreichen

Beitrag von Cae » 25.04.2012 21:36:02

slu hat geschrieben:Der KVM Wirt is mangels IP nicht angreifbar und es gibt auch keinen Weg das zu ändern, richtig?
Doch, wenn der Serverdienst in der VM angegriffen wird, erhöhte Rechte erhält, die Virtualisierung kaputtmacht und den Host kontrolliert. Oder der Hypervisor einfach etwas beim Durchreichen der Karte falsch macht, schließlich läuft dessen Kernel. Sind aber schon lustige Szenarien und entsprechend unwahrscheinlich ist ein "passender" Bug.

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
slu
Beiträge: 2240
Registriert: 23.02.2005 23:58:47

Re: Netzwerkkarte an KVM Gast mit Bridge durchreichen

Beitrag von slu » 24.06.2012 15:08:01

Eine Frage habe ich noch, angenommen der KVM Gast würde ein Netzwerkpaket mit einem VLAN Tag verschicken, so würde das durch die Bridge auf dem KVM Server durch das korrekte VLAN Tag ersetzt, egal welches der KVM Gast angegeben hat, richtig?

@ chrootlogin

Code: Alles auswählen

auto eth4
iface eth4 inet manual

auto br4.100
iface br4.100 inet manual
bridge_ports eth4.100
bridge_stp off
bridge_maxwait 0
bridge_fd 0
So hat es funktioniert.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Nach oben
Antworten

Zurück zu „weitere Dienste“