[Решено] Сетевой "забор с калиткой" вокруг виртуалки

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	corner Я может чего-то не понимаю, но проблема у меня не в том, как выпустить виртуалку в сеть, а как это ограничить. [email protected] Зачем нагружать хост IP фильтрацией, когда можно в винде поставить элементарный фаервол и наглухо закрыть все порты кроме нужного? Не знаю, кому как, а для меня винда, надёжность и “элементарный фаервол” - вещи несовместимые.

# 9 лет, 8 месяцев назад

Сообщения: 4801

Участник с: 05 июля 2011

corner
Я может чего-то не понимаю, но проблема у меня не в том, как выпустить виртуалку в сеть, а как это ограничить.

[email protected]
Зачем нагружать хост IP фильтрацией, когда можно в винде поставить элементарный фаервол и наглухо закрыть все порты кроме нужного?

Не знаю, кому как, а для меня винда, надёжность и “элементарный фаервол” - вещи несовместимые.

domov0y	# 9 лет, 8 месяцев назад
Темы: 5 Сообщения: 819 Участник с: 09 июля 2011	lampslave, это ты зря. Элементарный фаерволл с достаточной надежностью для младших NT есть. И имя ему wipfw. правила и смысл такие же как и для ipfw из FreeBSD. Функционал чуть похуже будет. Но не думаю что кто то на форточке будет играться с вероятностью прохождения пакета или шейпером Да пребудет с вами знание ip адреса

domov0y

# 9 лет, 8 месяцев назад

Темы: 5

Сообщения: 819

Участник с: 09 июля 2011

lampslave, это ты зря. Элементарный фаерволл с достаточной надежностью для младших NT есть. И имя ему wipfw. правила и смысл такие же как и для ipfw из FreeBSD. Функционал чуть похуже будет. Но не думаю что кто то на форточке будет играться с вероятностью прохождения пакета или шейпером

Да пребудет с вами знание ip адреса

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	А вот за это спасибо, такую штуку в виртуалку пихать уже не западло, хотя и придётся, наверное, ставить третий SP и какие-нибудь обновления.

corner	# 9 лет, 8 месяцев назад
Темы: 6 Сообщения: 773 Участник с: 21 июля 2011	Я может чего-то не понимаю, но проблема у меня не в том, как выпустить виртуалку в сеть, а как это ограничить. При использовании iptables для проброса виртуальной системы в правилах вы можете указать не только адреса, но и порт (или порты, или диапазон портов), для которых этот проброс будет работать. Используются директивы –sport (source port) и –dport (destination port). В итоге у вас маскарадинг будет только для указанного порта. Остальные порты пробрасываться не будут. Вот вам и нужное ограничение. Например (сходу, проверять негде) использование только порта 80 - # iptables -t filter -I FORWARD --in-interface vboxnet0 --out-interface eth0 --source 172.16.0.0/24 --sport 80 --dport 80 -j ACCEPT # iptables -t filter -I FORWARD --in-interface eth0 --out-interface vboxnet0 --destination 172.16.0.0/24 --sport 80 --dport 80 -j ACCEPT # iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE Как-то так, наверное.

corner

# 9 лет, 8 месяцев назад

Темы: 6

Сообщения: 773

Участник с: 21 июля 2011

Я может чего-то не понимаю, но проблема у меня не в том, как выпустить виртуалку в сеть, а как это ограничить.

При использовании iptables для проброса виртуальной системы в правилах вы можете указать не только адреса, но и порт (или порты, или диапазон портов), для которых этот проброс будет работать. Используются директивы –sport (source port) и –dport (destination port). В итоге у вас маскарадинг будет только для указанного порта. Остальные порты пробрасываться не будут. Вот вам и нужное ограничение.
Например (сходу, проверять негде) использование только порта 80 -

# iptables -t filter -I FORWARD --in-interface vboxnet0 --out-interface eth0 --source 172.16.0.0/24 --sport 80 --dport 80 -j ACCEPT
# iptables -t filter -I FORWARD --in-interface eth0 --out-interface vboxnet0 --destination 172.16.0.0/24 --sport 80 --dport 80 -j ACCEPT
# iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

Как-то так, наверное.

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Спасибо, разбираться с iptables мне так или иначе придётся, приму к сведению.

domov0y	# 9 лет, 8 месяцев назад
Темы: 5 Сообщения: 819 Участник с: 09 июля 2011	lampslave, если сервис не использует rpc или иные шаманства требующие двустороннего доступа к произвольному порту из диапазона, то можно банально выставить тип сети “NAT” и сделать проброс порта средствами самого Vbox. Что именно делать с фаерволлом и где его ставить решать тебе. Но как по мне - wipfw проще в настройке. Да пребудет с вами знание ip адреса

domov0y

# 9 лет, 8 месяцев назад

Темы: 5

Сообщения: 819

Участник с: 09 июля 2011

lampslave, если сервис не использует rpc или иные шаманства требующие двустороннего доступа к произвольному порту из диапазона, то можно банально выставить тип сети “NAT” и сделать проброс порта средствами самого Vbox. Что именно делать с фаерволлом и где его ставить решать тебе. Но как по мне - wipfw проще в настройке.

Да пребудет с вами знание ip адреса

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Пожалуй, и правда остановлюсь пока на wipfw. “До первого коллапса” так сказать :)

Natrio	# 9 лет, 8 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	lampslave Пожалуй, и правда остановлюсь пока на wipfw. “До первого коллапса” так сказать :) wipfw забавная штука, хотя на форточках мало что умеет. Лично я использовал её весьма экзотическим способом – чтобы не позволить безальтернативному и неуправляемому форточному DHCP-клиенту получать настройки от “не того” DHCP-сервера :)

Natrio

# 9 лет, 8 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

lampslave
Пожалуй, и правда остановлюсь пока на wipfw. “До первого коллапса” так сказать :)

wipfw забавная штука, хотя на форточках мало что умеет.
Лично я использовал её весьма экзотическим способом – чтобы не позволить безальтернативному и неуправляемому форточному DHCP-клиенту получать настройки от “не того” DHCP-сервера :)