1 bilgisayar, 2 NIC, 2 genel statik IP adresi

1

Ev masaüstü bilgisayarımın iki NIC'si var. Birini kişisel internet ihtiyaçları için kullanıyorum ve diğerini biraz sıradışı kullanmayı planlıyorum. Sanal makinede bir SOCKS / VPN sunucusu oluşturacağım, sadece NIC yedek ağı ile kullanacağım ve kendi genel statik IP adresini vereceğim. Şu anda bir ağ geçidi "yönlendirici" ve ayrı bileşenler olarak bir modem var.

Bu planın hala bana gizemli olan iki alanı var.

  1. VM trafiğini NIC’lerden birine izole edebilirim, ancak ana makinenin trafiğini diğerine nasıl izole edebilirim?

  2. Bunu ayarlamanın en güvenli ve ucuz yolu nedir?

Anladığım kadarıyla, dd-wrt veya OpenWrt ile yanıp sönen, 1: 1 NAT kullanmamı ve her iki IP'yi de herkese açık göstermemi sağlayacak bir yönlendirici bulabilirim. Daha sonra mevcut ağ geçidimi ana makinenin NIC'si ve yönlendirici arasına ek bir güvenlik katmanı için koyabilirim. VM daha ciddi kullanıldığı için muhtemelen yönlendirici içinde bir donanım güvenlik katmanı gerektirecektir.

Alternatif olarak, bir anahtar ve başka bir ağ geçidi alabilirim. Daha önce bir anahtar almadım ve bu bağlamda ne arayacağımı bilmiyorum.

Başka olasılıkları özlüyor muyum?

networking  router  ip  dd-wrt 
Asanak
kaynak
Çok sayıda halka açık (İnternet yönlendirmeli ağda olduğu gibi) IP var mı?
Daniel B
Şu an değil, ama ISS'm onlara teklif ediyor. Onları 5 dakikalık bir telefonla alabilirim. Gerçekten sorularım için yardım arıyorum. Yazımın unsurları hakkında hiçbir şüphem yok. vermedi hakkında sor. Birisi iki kamu IP'sine ihtiyacım olmadığını önermek zorunda. Ben de başımdan geçeyim.
Asanak
Hoşgeldiniz. Sormak En güvenli ve en ucuz yol nedir konu dışı görüşleri davet eder. Ayrıca, VM ile ne yapmak istediğinizi açıklarsanız yardımcı olacaktır.
Twisty Impersonator
Hangi bölüm konu dışı? Ağ güvenliği mi, yoksa ağ bileşenlerinin maliyeti mi? Kişisel internetim için kullandığım IP’den farklı olan ve halka açık bir IP’ye sahip bir SOCKS / VPN sunucusunu VM’de barındırmak istiyorum. Hepsi asıl gönderide yer alıyor ve sorularıma cevap vermek için daha fazla ayrıntıya ihtiyaç duyulduğunu görmüyorum. Bu konuda yanılıyorsam, lütfen nasıl yapılacağını göster. Daha fazla ayrıntı, başkalarının sormadığım şeyleri ele almasına yardımcı olabilir, ancak bu benim için önemli değil.
Asanak

Yanıtlar:

0

Roothost'u basitçe NIC için roothost arayüzünde L3'ü etkinleştirerek / yapılandırarak izole edemezsiniz (hipervizörün köprülenmiş L2 arayüzü ile VM'ye ağ sağladığı varsayılarak). Bu, trafik ayrımı ve temel güvenlik sağlayacaktır (yani, roothost'u VM'ye maruz bırakmamak).

Daha sert güvenlik için, burada gerçek gereksinimleriniz / endişeleriniz nelerdir?

Roothost'tan VM'ye, bu daima kabataslak bir şey olacaktır.

VM ve ağ arasında gerçekten daha fazla donanıma ihtiyacınız yok. OpenWrt veya başka bir güvenlik etkin yönlendirici olan başka bir VM'yi dağıtabilir ve ardından trafikten geçirebilirsiniz. Ardından harici, köprülenmiş L2'yi yönlendirici VM'ye bağlayın ve hedef VM'yi yönlendirici VM'ye ayrı sanal anahtarla bağlayın.

Peki neden dahili bir güvenlik duvarı kullanıyorsanız, hedef VM'deki işletim sisteminde harici güvenlik duvarını göz önünde bulundurmanız bile neden

Güvenlik açısından, gerçekten 1: 1 NAT kullanmazdım, ancak yalnızca gereken bağlantı noktalarını ortaya çıkarın / iletin. Size daha fazla kontrol sağlar ve saldırgana karşı ek bir güvenlik / komplikasyon katmanı sağlar.

Michał Sacharewicz
kaynak
L2 / L3 arayüzüne bakacağım - bu benim için yeni bilgiler ve teşekkür ederim. Hayal edilen güvenlik ihtiyaçlarıma aşırıdan bakıyor olabilirim. İletme bağlantı noktalarının daha güvenli olacağını fark ettim, ancak birden fazla IP istiyorum; Bu değiştirmek istediğim planın bir yönü değil.
Asanak
Ancak seçici yönlendirme iki IP adresi kullanmanıza engel olmaz. (A) NAT ile çok fazla konuştuğunuzdan beri, her iki IP adresinin yönlendiriciye atanacağını ve (b) tek bir kamu IP'sinden tek bir yerel IP'ye kadar 1: 1 NAT yapabileceğinizi ve sonra yönlendiriciniz, hedef adrese bağlı NAT çeviri kurallarını destekler. Eğer bu doğruysa, her iki genel adres için ayrı seçici NAT kuralları tanımlayabilirsiniz. nat match dest ip public1 port 80,443 target ip roothost ve nat match dest ip public2 port 80,443,1194 target ip vm
Michał Sacharewicz
Tamam, evet, bağlantı noktası iletme konusunun hala ikinci bir kamu IP'siyle ilgili olduğunu görüyorum. Yine de bir web vekilinden bahsetmiyorum. VM'nin sunucusu tarafından kullanılabilen bağlantı noktalarını sınırlamak istediğimden emin değilim. Her durumda, daha sonra, gerekli donanıma yerleştiğimde bununla başa çıkabilirim. Üçüncü taraf yazılımlarla yazdırabileceğim tek bir yönlendirici gibi görünüyor yeterli olacaktır. Ayrıca L3 arayüzü ile bir şeyler yapmaya çalışmak benim yeteneklerimin ötesinde olacak gibi görünüyor. İki NIC'yi ana bilgisayarda yalıtmak, çözülemez bir soruna benziyor, bu yüzden ikinci bir bilgisayar kullanmaya geçmem gerekecek.
Asanak
Hangi ortamdan bahsediyoruz? (roothost işletim sistemi ve sanallaştırma)
Michał Sacharewicz
Çevre Windows. VM belirlenmemiş. Özel yeteneklere ihtiyacım olmasaydı sadece VirtualPC'yi Windows ve Windows XP Mode için kullanacaktım çünkü bunlar benim için ücretsiz olurdu. Ama VM'de esnekdim.
Asanak
0

ISS, 2. adresi ana IP adresinize 'yönlendirilecek' şekilde yapılandırırsa (veya yönlendiriciden İnternet bağlantınız PPPoE gibi bazı noktadan noktaya bir teknoloji ise):

  • IP adresini yönlendiriciye atayabilir ve sunucunun dahili adresine DNAT gerçekleştirebilirsiniz.

  • Yönlendirici özel statik rotaları destekliyorsa, 1: 1 NAT kullanılamaz - 2. IP adresi için sunucunun LAN adresine veya LAN arabiriminin kendisine statik bir rota ekleyebilirsiniz, ardından bu adresi Sunucuya doğrudan.

Yönelticiden İnternet bağlantınız standart Ethernet ise (ve PPPoE değil) ve ISS, 2. adresi 'bağlantıda' olarak yapılandırırsa:

  • Yönlendiricinin WAN bağlantı noktasının önüne genel bir anahtar yerleştirebilir ve sunucuyu ona bağlayabilirsiniz. Yönetilmeyen bir anahtar yapacaktır. Bu durumda, sunucunun kendi güvenlik duvarını kullanmanız gerekir. çok kazara açığa vurmamaya dikkat edin; Internet'e iLO / iDRAC.

  • IP adresini yönlendiriciye atayabilir ve yukarıdakiyle aynı şekilde sunucunun dahili adresine DNAT gerçekleştirebilirsiniz.

  • IP adresini doğrudan sunucuya atayabilir, daha sonra proxy-ARP'yi etkinleştirebilir ve yönlendirici üzerindeki bu adres için statik bir rota ekleyebilirsiniz (proxy-ARP olayı hariç, yukarıdakiyle aynı).

Her durumda, bağlantı noktası beyaz listesi, NAT veya yönlendirme modlarından bağımsız olarak yönlendirici veya sunucudaki güvenlik duvarı üzerinden yapılabilir.

grawity
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.