Hi,
ich bin dabei meinen alten Root Server auf einem größeren neu aufzubauen und dort die jeweiligen Dienste Virtualisiert laufen zu lassen, um auf dem RZ eigenen Backup Server die kvm Images einfach verschlüsselt jede Nacht backupen kann, alsauch die Leistung wollte. Aber im Grunde stand für mich die Sicherheit meiner Infrastruktur im Mittelfeld. Nun habe ich einen Server mit genügend Leistung alles zu Virtualisieren mit zwei IPs. Ich mache mir eine Management VM, inwelcher nur ein Linux mit IPTables läuft mit der zweiten IP. Die erste IP läuft direkt auf dem Hypervisor Host und stellt die VMs bereit. Da die zweite IP über eine Bridge auf die VM läuft und nicht per Routing, kann auch nicht per tracert herausgefunden werden dass der Server der bsp Apache Bereitstellt Virtualisiert läuft und stelle somit weniger Angrifsfläche da.
Nun soll über die Management VM per iptables nur jeweils die Ports der Dienste an die anderen VMs wie an die Apache VM weitergeleitet werden.
Ich hab einigemaßen Ahnung von IPTables allerdings bringt mich die komplexe Konfig teilweise durcheinander, und wollte euch mal fragen wie ihr vorgehen würdet oder was ihr an tipps habt.
Die Port Weiterleitungen mache ich bisweilen aus 3 Regelen
Bsp: RDP
Ich würde gerne die Grundregel einer Firewall mit PublicIP verfolgen (Alles ist gesperrt und was gebraucht wird, wird freigeschaltet)
Hat jemand zufällig ein fertiges Skript für die Geschichte die ich gerade verfolge ?
PS: Werden beim setzten neuer iptables weiterleitungen die alten überschrieben oder nur neue angelegt (bei gleichen Eingangsports)
ich bin dabei meinen alten Root Server auf einem größeren neu aufzubauen und dort die jeweiligen Dienste Virtualisiert laufen zu lassen, um auf dem RZ eigenen Backup Server die kvm Images einfach verschlüsselt jede Nacht backupen kann, alsauch die Leistung wollte. Aber im Grunde stand für mich die Sicherheit meiner Infrastruktur im Mittelfeld. Nun habe ich einen Server mit genügend Leistung alles zu Virtualisieren mit zwei IPs. Ich mache mir eine Management VM, inwelcher nur ein Linux mit IPTables läuft mit der zweiten IP. Die erste IP läuft direkt auf dem Hypervisor Host und stellt die VMs bereit. Da die zweite IP über eine Bridge auf die VM läuft und nicht per Routing, kann auch nicht per tracert herausgefunden werden dass der Server der bsp Apache Bereitstellt Virtualisiert läuft und stelle somit weniger Angrifsfläche da.
Nun soll über die Management VM per iptables nur jeweils die Ports der Dienste an die anderen VMs wie an die Apache VM weitergeleitet werden.
Ich hab einigemaßen Ahnung von IPTables allerdings bringt mich die komplexe Konfig teilweise durcheinander, und wollte euch mal fragen wie ihr vorgehen würdet oder was ihr an tipps habt.
Die Port Weiterleitungen mache ich bisweilen aus 3 Regelen
Bsp: RDP
Code:
iptables -t nat -A PREROUTING --dst <PublicIP> -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.200:3389
iptables -t nat -A POSTROUTING --dst 10.0.0.200 -p tcp --dport 3389 -j SNAT --to-source <PublicIP>
iptables -t nat -A OUTPUT --dst <PublicIP> -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.200:3389Ich würde gerne die Grundregel einer Firewall mit PublicIP verfolgen (Alles ist gesperrt und was gebraucht wird, wird freigeschaltet)
Hat jemand zufällig ein fertiges Skript für die Geschichte die ich gerade verfolge ?
PS: Werden beim setzten neuer iptables weiterleitungen die alten überschrieben oder nur neue angelegt (bei gleichen Eingangsports)
