Hallo Leute,

ich beschäftige mich gerade mit iptables. Um meine Skripte/iptables Regeln zu testen, habe ich mir überlegt bzw. habe ich schon angefangen, mir eine Laborumgebung aufzubauen.

Was habe ich.

Desktop (Ubuntu 12.04), angeschlossen an einer fritzbox, wird von dieser mit IP und DNS versorgt.

Dann habe ich mir auf dem Desktop virtualbox installiert und mir eine virtuelle Umgebung ubtuntu 12.04 server eingerichtet. Erstmal mit bridge, so dass ich diese via ssh erreichen kann.

Wie muss ich das Netzwerk bei virtaulbox einstellen, damit ich meinen Desktop als firewall für den ubuntu server verwenden kann?
Der Server soll ja auch dann ganz normal ins Internet und so kommen, wenn ich die FW richtig konfiguriere.

Könnt Ihr mir hier helfen?

VG
Uli

Dafür müßtest du das Netzwerk auf NAT stellen.

Guten Morgen,

das habe ich mir auch gedacht.

Bei iptables kann/muss ja dann festlegen, welches Netzwerkinterface nach außen geht und nach innen geht. Also eth0 von Desktop wäre ja nach extern, und welche wäre dann die interne für die virtuelle Maschine?

vg

VIrtualbox legt normalerweise Interfaces an und bestückt diese gleich mit einer IP-Adresse. Meistens reicht es aus die ersten 3 Oktets des Hosts und des Gastes zu vergleichen, damit man dann das passende Interface hat.

Werde gleich mal schauen, aber aus meiner Erinnerung, bekommt der Gast eine IP 10.0.2.2 oder so, aber auf dem Host ist kein Interface unter ifconfig aufgelistet, dass dieses Netz versorgt.

Werde mich melden, wenn es so ist und meine ifconfig Ausgabe posten.

VG

Mahlzeit,

nur ein paar Anmerkungen:

1. intern/extern verwendest du missverständlich. IPT kennt input, output und forward. Die haben aber nichts mit intern und extern zu tun, Pakete die an den Rechner gehen sind input, Pakete die vom Rechner selbst verschickt werden sind output, Pakete auf der Durchreise sind forward. Egal welche und wie viele Netzwerkschnittstellen, die Pakete werden immer so aufgeteilt.

2. Man braucht für IPT nicht mehrere Interfaces, bei meinen Linux Rechner läuft immer ein IPT und fast keiner hat mehr als ein Interface (mit nur einem fällt halt nur forward raus, da es einfach keinen sinn macht ;))

3. VBox "steckt" (meine ich jedenfalls) dynamisch NICs dazu bzw. zieht diese wieder raus, jenachdem wie viele Boxen gerade laufen. Ich würde daher nicht über Schnittstellen sondern die Adressen regeln, da ich Befürchtungen hätte bzw. habe, dass sich die Schnittstelle ändert

Hallo

vielen Dank für Deine Erläuterungen. Das es die vers. IPT gibt, ist mir bewusst, aber es gibt doch auch Regeln, die sich auf ein Interface beziehen, wenn man gerne sich eine Konfiguration aussucht und testen möchte, die in Richtung DMZ oder so geht, also ich würde mir gerne Anschauen, wie man einen Rechner/Server konfiguriert, der nur als FW dient und das "interne" Netz schützt.

Ich habe mir dazu das Buch "Linux Firewalls" von Ralf Sprengemann geholt und diese Erläuterungen würde ich gern nachstellen.

VG

Hallo,

also vor dem Start der virt. Maschine habe ich folgende Interfaces:

* eth0 (Firtzbox-IP-Netz)
*lo (localhost)
* vibr0 (IP: 192.168.122.1)

Nach dem Start der Maschine keine Änderung.

Innerhalb der virt. Maschine habe ich die IP 10.0.2.15

Die IP 10.0.2.2 kann vom Gast anpingen.

Wenn ich nun mit iptables Regeln erstellen möchte, stelle ich ja als erstes die default Polcies auf Drop, nun muss ich doch nun einzelne Ports/Dienste der virt. Maschine frei geben. Nach welchem Schema muss ich dann suchen, wenn ich nicht mit Interfaces arbeiten kann?

VG
Uli

Nun einfach statt des Interface die Adresse nutzen, beispiel
iptables -A INPUT -(d|s) <IP> -j (ALLOW|DROP|REJECT) - kuckst du z.B. hier http://www.debianroot.de/server/iptables-ip-adressen-bannen-mit-iptables-1293.html