Hallo liebe gemeinde,
ich wollte bei mir zu hause eine firewall einrichten mit einem debian server.
Nun wollte ich dieses erstmal virtuell testen.
Also habe ich mir 2 rechner genommen. Rechner A hat eine VM mit Debian und Rechner B hat 2 VM ( eine wo die Firewall drauf ist, und die andere ist der Client)
Nun habe ich alle so eingerichtet das jeder jeden anpingen kann.
Muss ich die FW nun noch als DNS-Server einrichten, das die beiden Clienten über die FW ins Internet gehen oder sich sagen wir an Pingen?
und mit dem befehl traceroute alles verfolgen?
danke schonmal im vorraus
VM - Firewall - VM
Re: VM - Firewall - VM
In der Annahme, dass das hier ein längerer Thread wird: Aehm was?! Sorry, aber ein paar mehr Sätze hätten es ruhig sein können. Wenn man die Rechner auch noch mit Ihren Interfaces/IPs/Subnetzmasken beschreibt, wird das ganze sehr viel verständlicher, Pro-Tipp: Bildchen malen.
a) DNS macht "Name zu IP" (unter anderem), wäre also nur nötig, wenn Du per "Namen" pingen willst. Fang erstmal mit Pings auf die IP an.
b) Das Thema mit dem Du Dich beschäftigen willst, ist Routing. Insbesondere Grundlagen und NAT.
a) DNS macht "Name zu IP" (unter anderem), wäre also nur nötig, wenn Du per "Namen" pingen willst. Fang erstmal mit Pings auf die IP an.
b) Das Thema mit dem Du Dich beschäftigen willst, ist Routing. Insbesondere Grundlagen und NAT.
-
Rockerking
- Beiträge: 5
- Registriert: 07.01.2014 21:54:26
Re: VM - Firewall - VM
Also es war eine einstellungs sache in der VMware und die beiden netzwerk karten mussten die gleiche range haben.
Nun habe ich jeder Virtuellen maschine ein eigenes Subnetz zugeteilt und die FW hat zugriff auf beide Subnetze somit kann sich nun jeder gegenseitig anpingen.
was ich nun möchte das man die FW nicht anpingen kann sondern die C1 und C2 können sich gegenseitig anpingen.
folgende befehle habe ich ausprobiert welche nur leider nicht klappen.
dies besagt ja das erstmal alle Pings Blockiert werden und dan nur von einer bestimmten IP adresse Akzeptiert werden richtig?
damit dan auch jedes weitere Protocoll Geblockt wird habe ich diese befehle noch eingefügt.
Somit kann man die Firewall nicht anpingen und untereinander können die server nichts machen ausser Pingen nur dies klappt nicht....
hier mal eine kleine Zeichnung
Nun habe ich jeder Virtuellen maschine ein eigenes Subnetz zugeteilt und die FW hat zugriff auf beide Subnetze somit kann sich nun jeder gegenseitig anpingen.
was ich nun möchte das man die FW nicht anpingen kann sondern die C1 und C2 können sich gegenseitig anpingen.
folgende befehle habe ich ausprobiert welche nur leider nicht klappen.
Code: Alles auswählen
iptables -A FORWARD -s x.x.x.x -p ICMP --icmp-type 8 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 8 -j DROP
Code: Alles auswählen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Somit kann man die Firewall nicht anpingen und untereinander können die server nichts machen ausser Pingen nur dies klappt nicht....
hier mal eine kleine Zeichnung
Re: VM - Firewall - VM
jetzt noch bitte mit entsprechenden IP Addressen und Adaptertypen (heißt das so in VMWare? Da wo man einstellt, ob man NAT oder Bridge oder wasauchimmer haben will)
Ich geh von nem Routing Problem aus, die VMS wissen nicht, dass sie im gleichen Netz sind.
Die Hardware (incl virtueller) sieht so aus, richtig?:
Je nachdem, wie die VM-Interfaces eingestellt sind, sieht Dein Netz für die Kisten anders aus.
a) Die VM macht NAT - dann kommts auch noch drauf an, ob Pings auch "rübergereicht" werden.
b) alle Rechner incl. der virtuellen hängen (virtuell) direkt am Switch
c) ...
ps: Private IP Adressen unkenntlich machen ist ne ganz blöde Angewohnheit die nur die Fehlersuche erschwert. Schreib bitte nicht x.x.x.x wenn es nichts zu verstecken gibt.
pps: Du hast nur ICMP Type 8 erlaubt - evtl interessieren Dich aber auch die Antworten?
Auch warum Du was explizit dropst, was gleich anschliessend durch die Policy weggeworfen würde, erschliesst sich mir nicht so ganz. (Ich nehme an, dass sind nicht die vollständigen FW-Regeln? Poste die lieber auch mal)
Ich geh von nem Routing Problem aus, die VMS wissen nicht, dass sie im gleichen Netz sind.
Die Hardware (incl virtueller) sieht so aus, richtig?:
Code: Alles auswählen
VM1+ -------- +Rechner A +----(Switch)----- +Rechner B+--------- VM2
+--------- FW
a) Die VM macht NAT - dann kommts auch noch drauf an, ob Pings auch "rübergereicht" werden.
b) alle Rechner incl. der virtuellen hängen (virtuell) direkt am Switch
c) ...
ps: Private IP Adressen unkenntlich machen ist ne ganz blöde Angewohnheit die nur die Fehlersuche erschwert. Schreib bitte nicht x.x.x.x wenn es nichts zu verstecken gibt.
pps: Du hast nur ICMP Type 8 erlaubt - evtl interessieren Dich aber auch die Antworten?
Auch warum Du was explizit dropst, was gleich anschliessend durch die Policy weggeworfen würde, erschliesst sich mir nicht so ganz. (Ich nehme an, dass sind nicht die vollständigen FW-Regeln? Poste die lieber auch mal)