borner
27.06.08, 14:51
Hallo,
mein Rechner auf Fedora Core 8 hat 2 XEN Domains aktiviert. Zum einem die "Hauptdomain" Dom-0 - das Wirts- und Verwaltungssystem und dann eine zweite, virtuelle Domain, die sogenannte webDomain.
Mein Ziel ist es nun, dass Zugriffe auf das Internet ausschließlich aus der Web-Domain heraus möglich sein sollen.
Die Webdomain hat über ein Brückeninterface Zugriff das Web, da Domain 0 alle Anfragen zum Router sendet.
Zum Verständnis habe ich mal ein kleines Bild gebaut.
########################
# #webDomain #
# #IP: 192.168.1.3 #
# # | #
# ##########|#######
#Dom0 | #
# vIP: 192.168.1.2 #
# | #
# |forwarding| #
# | #
# IP: 10.1.1.13 #
########################
#Hardware (eth0) #
########################
|
|
Router 10.1.1.11
Ich grüble als schon eine Weil, welche Friewall-Regeln die Dom0 Zugriffe auf das Web verhindern können und gleichzeitig das Routing (und NAT) erlauben.
Ich habe mich dabei an diesem Bild orientiert:
http://de.wikipedia.org/wiki/Bild:Nfk-traversal.png
Gehe ich recht in der Annahme, dass ich in der output-regel die gerouteten Pakete erkennen müsste, akzeptieren und den Rest wegschmeißen? Nur, wie kann ich sie identifizieren? Das NAT wurde ja bereits durchgeführt, sie haben also die gleiche quell IP wie die Pakete der Dom0 Domain.
mein Rechner auf Fedora Core 8 hat 2 XEN Domains aktiviert. Zum einem die "Hauptdomain" Dom-0 - das Wirts- und Verwaltungssystem und dann eine zweite, virtuelle Domain, die sogenannte webDomain.
Mein Ziel ist es nun, dass Zugriffe auf das Internet ausschließlich aus der Web-Domain heraus möglich sein sollen.
Die Webdomain hat über ein Brückeninterface Zugriff das Web, da Domain 0 alle Anfragen zum Router sendet.
Zum Verständnis habe ich mal ein kleines Bild gebaut.
########################
# #webDomain #
# #IP: 192.168.1.3 #
# # | #
# ##########|#######
#Dom0 | #
# vIP: 192.168.1.2 #
# | #
# |forwarding| #
# | #
# IP: 10.1.1.13 #
########################
#Hardware (eth0) #
########################
|
|
Router 10.1.1.11
Ich grüble als schon eine Weil, welche Friewall-Regeln die Dom0 Zugriffe auf das Web verhindern können und gleichzeitig das Routing (und NAT) erlauben.
Ich habe mich dabei an diesem Bild orientiert:
http://de.wikipedia.org/wiki/Bild:Nfk-traversal.png
Gehe ich recht in der Annahme, dass ich in der output-regel die gerouteten Pakete erkennen müsste, akzeptieren und den Rest wegschmeißen? Nur, wie kann ich sie identifizieren? Das NAT wurde ja bereits durchgeführt, sie haben also die gleiche quell IP wie die Pakete der Dom0 Domain.