KVM HowTo? VM im LAN, Host isoliert
Hallo liebe Kollegen,
zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.
Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server). Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern. Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.
Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?
Vielen Dank für Eure Anregungen!
Peter
zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.
Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server). Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern. Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.
Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?
Vielen Dank für Eure Anregungen!
Peter
Please also mark the comments that contributed to the solution of the article
Content-ID: 1474035162
Url: https://administrator.de/contentid/1474035162
Printed on: October 11, 2024 at 14:10 o'clock
3 Comments
Latest comment
Hallo,
Konfiguriere eine Bridge, welche die VM mit dem "Arbeits-Netzwerk" verbindet. Der Host darf natürlich nicht Teil der Bridge sein, also keine IP Adresse dort konfigurieren.
Abschließend noch eine Bemerkung: eine VDI schützt dich nur beschränkt vor Ransomware, besonders wenn diese auf das "Arbeits-Netzwerk" zugreifen darf. Ein Snapshot ist kein Backup!
MfG
Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?
Konfiguriere eine Bridge, welche die VM mit dem "Arbeits-Netzwerk" verbindet. Der Host darf natürlich nicht Teil der Bridge sein, also keine IP Adresse dort konfigurieren.
Abschließend noch eine Bemerkung: eine VDI schützt dich nur beschränkt vor Ransomware, besonders wenn diese auf das "Arbeits-Netzwerk" zugreifen darf. Ein Snapshot ist kein Backup!
MfG
Zitat von @peternunaber:
Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server).
Gib der VM einfach per Pass-Through die 2. Netzwerkkarte und häng sie in deine DMZ.Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server).
Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern.
Dem Host selbst gibst du einfach die erste Netzwerkkarte und hängst sie in dein Management-Netz.Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.
Nette Idee, aber wie willst du dann an Updates kommen? Du wirst zu diesem Zweck zumindest für den Updatevorgang einen Internetzugang geben müssen.zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.
Inwiefern soll dich das vor Verschlüsselung von Festplatten schützen? Ich würde dann eher über LVM oder besser ZFS und Snapshots setzen, um auf einen brauchbaren Punkt zurückzuspringen, falls du Opfer von Ramsom & Co geworden bist.