13
Alle Verbindungen bis auf eine IP Adresse blockieren
Hallo Zusammen,
Ich habe einen Hyper-V Server auf dem ein debian (ohne desktop) läuft. Dort drauf ist ein Webserver und ein paar REST Services. Nun möchte ich, dass die VM also das debian OS, nur auf eine bestimmte IP Adresse in meinem LAN Zugriff hat und alle anderen blockiert werden. Also so, dass debian selbst keinen Zugriff nach draussen hat. Grund dafür ist, dass ich ein paar Opensource libs verwende bei denen ich nicht ganz sicher bin, was die alles so in die weite Welt hinaus senden... (Klingt komisch, aber ich will die vm aus Sicherheitsgründen "abschotten") Deshalb will ich der VM/debian nur auf eine einzige IP Adresse Zugriff gewähren (anderer PC).
Wie mache ich so etwas? Geht das über die debian firewall oder sogar per hyper-v host?
Danke im Voraus
Ich habe einen Hyper-V Server auf dem ein debian (ohne desktop) läuft. Dort drauf ist ein Webserver und ein paar REST Services. Nun möchte ich, dass die VM also das debian OS, nur auf eine bestimmte IP Adresse in meinem LAN Zugriff hat und alle anderen blockiert werden. Also so, dass debian selbst keinen Zugriff nach draussen hat. Grund dafür ist, dass ich ein paar Opensource libs verwende bei denen ich nicht ganz sicher bin, was die alles so in die weite Welt hinaus senden... (Klingt komisch, aber ich will die vm aus Sicherheitsgründen "abschotten") Deshalb will ich der VM/debian nur auf eine einzige IP Adresse Zugriff gewähren (anderer PC).
Wie mache ich so etwas? Geht das über die debian firewall oder sogar per hyper-v host?
Danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 474727
Url: https://administrator.de/contentid/474727
Printed on: April 19, 2024 at 17:04 o'clock
13 Comments
Latest comment
Ich würde das über eine dmz lösen alles andere ist murks.
Aber das sollte dir eigentlich klar sein
Aber das sollte dir eigentlich klar sein
Moin,
Je nach debian-Version macht man das mit iotables oder nftables.
Aber sinvoller wäre ein eigenes Segment (=DMZ) das mit einer Girewall reguliert wird.Denn wenn Du der Software nicht traust, dann kannst Du ihr auch unterstellen, daß die die Filterregel abschaltet.
lks
Je nach debian-Version macht man das mit iotables oder nftables.
Aber sinvoller wäre ein eigenes Segment (=DMZ) das mit einer Girewall reguliert wird.Denn wenn Du der Software nicht traust, dann kannst Du ihr auch unterstellen, daß die die Filterregel abschaltet.
lks
Servus,
lass einfach das Gateway weg. Schon ist Ruhe.
Henere
lass einfach das Gateway weg. Schon ist Ruhe.
Henere
Der Hyper -V hat keine (kaum) Kontrolle über den Traffic zur VM.
Wie gesagt am Debian die eigene Firewall / iptables oder einfach das Gateway weg lassen, oder an der Bürofirewall schon so einstellen, dass diejenige IP oder MAC nicht raus kommunizieren darf.
Wie gesagt am Debian die eigene Firewall / iptables oder einfach das Gateway weg lassen, oder an der Bürofirewall schon so einstellen, dass diejenige IP oder MAC nicht raus kommunizieren darf.
Wenn man der Siftware nicht traut nützt das weglassen des Gateways nichts. Die Software könnte schlau genug sein, trotzdem Daten zu schicken.
lks
Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...
Zitat von @aqui:
Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...
Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...
Im Zweifel schützt er damit aber nicht, da erden Bock (das System) zum Gärtner macht - wir wissen ja nichtmal, welche Applikation er eingrenzen will bzw aus welchen Grund und allgemein, was der Hintergedanke ist.
Den Gateway zu entfernen ist aber sicherlich die dü... kurzsichtigste Methodik.
Zitat von @falscher-sperrstatus:
Im Zweifel schützt er damit aber nicht, da erden Bock (das System) zum Gärtner macht - wir wissen ja nichtmal, welche Applikation er eingrenzen will bzw aus welchen Grund und allgemein, was der Hintergedanke ist.
Im Zweifel schützt er damit aber nicht, da erden Bock (das System) zum Gärtner macht - wir wissen ja nichtmal, welche Applikation er eingrenzen will bzw aus welchen Grund und allgemein, was der Hintergedanke ist.
Genau! Alles was man auf dem System sekbst konfiguriert, kann durvh Siftware auf diesem System umgangen werden.
Es ist ein leichtes, herauszufinden hinter welchen IP-Adressen ein Router steckt und diesen dann zu verwenden, ider gleich wieder als Gateway einzutragen, selbst wenn der Admin das gateway "gelöscht" hat. Auf iptables tabellen lassen sich umschreiben.
Von daher: Traut man der Software soweit, daß man ihr unterstellt, daß sie micht böswillig am System rumfummelt, kann nan gateway und iptables-Lösungen nehmen.
Ansobsten muß sas Ding in eine DMZ mit Firewall.
lks
Zitat von @aqui:
Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das ist unter Windows genau so, da heisst es halt Windows-Firewall. Somit ist ther Thread wieder flüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...
Ist unter Linux ganz genau so. Spüre ich da einen Hass gegen Windows?
Das Programm wird doch sicher nicht als root laufen.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.
Zitat von @bloodstix:
Das Programm wird doch sicher nicht als root laufen.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.
Das Programm wird doch sicher nicht als root laufen.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.
Wer weiss, wer weiss.
Die installation und die dazugehörigen Skripte kaufen aks root. Da ist es ein leichtes, sich Türen für rootzugriff bei Bedarf offenzuhalten. (Wer außer mir schaut sich hier eigentlich auch die Sourcen der OS-Programme zumindest Stichprobenartig an?)
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.
Es gibt genügend Tricks und Exploits, um sich auf dem lokalen System rootrechte zu verschaffen.
lks
Vergiss nicht vorher die Sourcen des Kernels zu durchleuchten, bevor Du in selbst kompilierst.
