Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Alle Verbindungen bis auf eine IP Adresse blockieren

Mitglied: Bananenmeister

Bananenmeister (Level 1) - Jetzt verbinden

18.07.2019 um 22:28 Uhr, 548 Aufrufe, 13 Kommentare

Hallo Zusammen,

Ich habe einen Hyper-V Server auf dem ein debian (ohne desktop) läuft. Dort drauf ist ein Webserver und ein paar REST Services. Nun möchte ich, dass die VM also das debian OS, nur auf eine bestimmte IP Adresse in meinem LAN Zugriff hat und alle anderen blockiert werden. Also so, dass debian selbst keinen Zugriff nach draussen hat. Grund dafür ist, dass ich ein paar Opensource libs verwende bei denen ich nicht ganz sicher bin, was die alles so in die weite Welt hinaus senden... (Klingt komisch, aber ich will die vm aus Sicherheitsgründen "abschotten") Deshalb will ich der VM/debian nur auf eine einzige IP Adresse Zugriff gewähren (anderer PC).

Wie mache ich so etwas? Geht das über die debian firewall oder sogar per hyper-v host?
Danke im Voraus
Mitglied: certifiedit.net
18.07.2019 um 22:29 Uhr
Ich würde das über eine dmz lösen alles andere ist murks.
Aber das sollte dir eigentlich klar sein
Bitte warten ..
Mitglied: Lochkartenstanzer
18.07.2019, aktualisiert um 23:03 Uhr
Moin,

Je nach debian-Version macht man das mit iotables oder nftables.

Aber sinvoller wäre ein eigenes Segment (=DMZ) das mit einer Girewall reguliert wird.Denn wenn Du der Software nicht traust, dann kannst Du ihr auch unterstellen, daß die die Filterregel abschaltet.

lks
Bitte warten ..
Mitglied: Henere
18.07.2019 um 23:34 Uhr
Servus,

lass einfach das Gateway weg. Schon ist Ruhe.

Henere
Bitte warten ..
Mitglied: NordicMike
18.07.2019 um 23:53 Uhr
Der Hyper -V hat keine (kaum) Kontrolle über den Traffic zur VM.

Wie gesagt am Debian die eigene Firewall / iptables oder einfach das Gateway weg lassen, oder an der Bürofirewall schon so einstellen, dass diejenige IP oder MAC nicht raus kommunizieren darf.
Bitte warten ..
Mitglied: Lochkartenstanzer
19.07.2019 um 08:58 Uhr
Zitat von Henere:

lass einfach das Gateway weg. Schon ist Ruhe.


Wenn man der Siftware nicht traut nützt das weglassen des Gateways nichts. Die Software könnte schlau genug sein, trotzdem Daten zu schicken.

lks
Bitte warten ..
Mitglied: aqui
19.07.2019 um 09:15 Uhr
Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...
Bitte warten ..
Mitglied: certifiedit.net
19.07.2019 um 09:17 Uhr
Zitat von aqui:

Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.
Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...

Im Zweifel schützt er damit aber nicht, da erden Bock (das System) zum Gärtner macht - wir wissen ja nichtmal, welche Applikation er eingrenzen will bzw aus welchen Grund und allgemein, was der Hintergedanke ist.

Den Gateway zu entfernen ist aber sicherlich die dü... kurzsichtigste Methodik.
Bitte warten ..
Mitglied: Lochkartenstanzer
19.07.2019 um 09:30 Uhr
Zitat von certifiedit.net:

Im Zweifel schützt er damit aber nicht, da erden Bock (das System) zum Gärtner macht - wir wissen ja nichtmal, welche Applikation er eingrenzen will bzw aus welchen Grund und allgemein, was der Hintergedanke ist.

Genau! Alles was man auf dem System sekbst konfiguriert, kann durvh Siftware auf diesem System umgangen werden.

Es ist ein leichtes, herauszufinden hinter welchen IP-Adressen ein Router steckt und diesen dann zu verwenden, ider gleich wieder als Gateway einzutragen, selbst wenn der Admin das gateway "gelöscht" hat. Auf iptables tabellen lassen sich umschreiben.

Von daher: Traut man der Software soweit, daß man ihr unterstellt, daß sie micht böswillig am System rumfummelt, kann nan gateway und iptables-Lösungen nehmen.

Ansobsten muß sas Ding in eine DMZ mit Firewall.

lks
Bitte warten ..
Mitglied: NordicMike
19.07.2019, aktualisiert um 09:32 Uhr
Zitat von aqui:

Vermutlich ist der TO ein Winblows Knecht, denn sonst wäre IPtables sein bester Freund und der Thread damit überflüssig.

Das ist unter Windows genau so, da heisst es halt Windows-Firewall. Somit ist ther Thread wieder flüssig.

Das Gateway einfach weglassen wäre da noch die einfachste Lösung für Windows Bastler...

Ist unter Linux ganz genau so. Spüre ich da einen Hass gegen Windows?
Bitte warten ..
Mitglied: bloodstix
19.07.2019 um 16:23 Uhr
Das Programm wird doch sicher nicht als root laufen.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.
Bitte warten ..
Mitglied: certifiedit.net
19.07.2019 um 16:28 Uhr
Zitat von bloodstix:

Das Programm wird doch sicher nicht als root laufen.
Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.

Wer weiss, wer weiss.
Bitte warten ..
Mitglied: Lochkartenstanzer
19.07.2019 um 18:03 Uhr
Zitat von bloodstix:

Das Programm wird doch sicher nicht als root laufen.

Die installation und die dazugehörigen Skripte kaufen aks root. Da ist es ein leichtes, sich Türen für rootzugriff bei Bedarf offenzuhalten. (Wer außer mir schaut sich hier eigentlich auch die Sourcen der OS-Programme zumindest Stichprobenartig an?)


Dann kann es ohne Weiteres gar nicht an iptables rumfummeln.

Es gibt genügend Tricks und Exploits, um sich auf dem lokalen System rootrechte zu verschaffen.

lks
Bitte warten ..
Mitglied: Henere
19.07.2019 um 18:12 Uhr
Vergiss nicht vorher die Sourcen des Kernels zu durchleuchten, bevor Du in selbst kompilierst.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Zugriff auf NAS in anderem IP-Adress Bereich

gelöst Frage von TorstenhofRouter & Routing12 Kommentare

Hallo liebe Forumsmitglieder Ich habe folgendes Problem mit einer Netzwerkkonfiguration: Netzwerk 1: IP Adressen 192.168.0.x Arbeitsplatzrechner und NAS Zugriff ...

Netzwerkmanagement

802.1x: IP Telefon verliert Verbindung

Frage von 14116Netzwerkmanagement1 Kommentar

Hallo, Ich arbeite hier an einer 802.1x Umgebung: Meine Umgebung: Switch: HP 2810-24G Radius Server: Microsoft NAP 2008 Clients: ...

Windows Tools

Cobra Adress Plus und Outlook

gelöst Frage von hartmann0Windows Tools8 Kommentare

Hallo, da ich durch Googlen leider einfach nichts finde, habe ich mich entschlossen, mich einfach mal hier an das ...

Sonstige Systeme

Cobra Adress Plus - im Terminalbetrieb

gelöst Frage von 118080Sonstige Systeme7 Kommentare

Ist hier zufälligerweise jemand im Forum der die Software Cobra Adress Plus kennt?? Hätte nämlich eine Frage und falls ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 14 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...