bananenmeister
Goto Top

Alle Verbindungen bis auf eine IP Adresse blockieren

Hallo Zusammen,

Ich habe einen Hyper-V Server auf dem ein debian (ohne desktop) läuft. Dort drauf ist ein Webserver und ein paar REST Services. Nun möchte ich, dass die VM also das debian OS, nur auf eine bestimmte IP Adresse in meinem LAN Zugriff hat und alle anderen blockiert werden. Also so, dass debian selbst keinen Zugriff nach draussen hat. Grund dafür ist, dass ich ein paar Opensource libs verwende bei denen ich nicht ganz sicher bin, was die alles so in die weite Welt hinaus senden... (Klingt komisch, aber ich will die vm aus Sicherheitsgründen "abschotten") Deshalb will ich der VM/debian nur auf eine einzige IP Adresse Zugriff gewähren (anderer PC).

Wie mache ich so etwas? Geht das über die debian firewall oder sogar per hyper-v host?
Danke im Voraus

Content-Key: 474727

Url: https://administrator.de/contentid/474727

Printed on: May 23, 2024 at 18:05 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Jul 18, 2019 at 20:29:10 (UTC)
Goto Top
Ich würde das über eine dmz lösen alles andere ist murks.
Aber das sollte dir eigentlich klar sein
Member: Lochkartenstanzer
Lochkartenstanzer Jul 18, 2019 updated at 21:03:26 (UTC)
Goto Top
Moin,

Je nach debian-Version macht man das mit iotables oder nftables.

Aber sinvoller wäre ein eigenes Segment (=DMZ) das mit einer Girewall reguliert wird.Denn wenn Du der Software nicht traust, dann kannst Du ihr auch unterstellen, daß die die Filterregel abschaltet.

lks
Member: Henere
Henere Jul 18, 2019 at 21:34:50 (UTC)
Goto Top
Servus,

lass einfach das Gateway weg. Schon ist Ruhe.

Henere
Member: NordicMike
NordicMike Jul 18, 2019 at 21:53:50 (UTC)
Goto Top
Der Hyper -V hat keine (kaum) Kontrolle über den Traffic zur VM.

Wie gesagt am Debian die eigene Firewall / iptables oder einfach das Gateway weg lassen, oder an der Bürofirewall schon so einstellen, dass diejenige IP oder MAC nicht raus kommunizieren darf.
Member: Lochkartenstanzer
Lochkartenstanzer Jul 19, 2019 at 06:58:44 (UTC)
Goto Top
Zitat von @Henere:

lass einfach das Gateway weg. Schon ist Ruhe.


Wenn man der Siftware nicht traut nützt das weglassen des Gateways nichts. Die Software könnte schlau genug sein, trotzdem Daten zu schicken.

lks
Member: aqui
aqui Jul 19, 2019 at 07:15:41 (UTC)
Goto Top
Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...
Member: falscher-sperrstatus
falscher-sperrstatus Jul 19, 2019 at 07:17:22 (UTC)
Goto Top
Zitat von @aqui:

Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...

Im Zweifel schützt er damit aber nicht, da erden Bock (das System) zum Gärtner macht - wir wissen ja nichtmal, welche Applikation er eingrenzen will bzw aus welchen Grund und allgemein, was der Hintergedanke ist.

Den Gateway zu entfernen ist aber sicherlich die dü... kurzsichtigste Methodik.
Member: Lochkartenstanzer
Lochkartenstanzer Jul 19, 2019 at 07:30:27 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Im Zweifel schützt er damit aber nicht, da erden Bock (das System) zum Gärtner macht - wir wissen ja nichtmal, welche Applikation er eingrenzen will bzw aus welchen Grund und allgemein, was der Hintergedanke ist.

Genau! Alles was man auf dem System sekbst konfiguriert, kann durvh Siftware auf diesem System umgangen werden.

Es ist ein leichtes, herauszufinden hinter welchen IP-Adressen ein Router steckt und diesen dann zu verwenden, ider gleich wieder als Gateway einzutragen, selbst wenn der Admin das gateway "gelöscht" hat. Auf iptables tabellen lassen sich umschreiben.

Von daher: Traut man der Software soweit, daß man ihr unterstellt, daß sie micht böswillig am System rumfummelt, kann nan gateway und iptables-Lösungen nehmen.

Ansobsten muß sas Ding in eine DMZ mit Firewall.

lks
Member: NordicMike
NordicMike Jul 19, 2019 updated at 07:32:20 (UTC)
Goto Top
Zitat von @aqui:

Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.

Das ist unter Windows genau so, da heisst es halt Windows-Firewall. Somit ist ther Thread wieder flüssig.

Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...

Ist unter Linux ganz genau so. Spüre ich da einen Hass gegen Windows? face-smile
Member: bloodstix
bloodstix Jul 19, 2019 at 14:23:07 (UTC)
Goto Top
Das Programm wird doch sicher nicht als root laufen.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.
Member: falscher-sperrstatus
falscher-sperrstatus Jul 19, 2019 at 14:28:39 (UTC)
Goto Top
Zitat von @bloodstix:

Das Programm wird doch sicher nicht als root laufen.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.

Wer weiss, wer weiss.
Member: Lochkartenstanzer
Lochkartenstanzer Jul 19, 2019 at 16:03:14 (UTC)
Goto Top
Zitat von @bloodstix:

Das Programm wird doch sicher nicht als root laufen.

Die installation und die dazugehörigen Skripte kaufen aks root. Da ist es ein leichtes, sich Türen für rootzugriff bei Bedarf offenzuhalten. (Wer außer mir schaut sich hier eigentlich auch die Sourcen der OS-Programme zumindest Stichprobenartig an?)


Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.

Es gibt genügend Tricks und Exploits, um sich auf dem lokalen System rootrechte zu verschaffen.

lks
Member: Henere
Henere Jul 19, 2019 at 16:12:59 (UTC)
Goto Top
Vergiss nicht vorher die Sourcen des Kernels zu durchleuchten, bevor Du in selbst kompilierst. face-smile