DMZ Setup mit nur einem NIC

Bob22

New Member
Sep 11, 2019
17
0
1
32
Ich versuche ich Moment eine DMZ aufzusetzen, allerdings bin ich mir nicht sicher, wie ich die Bridges korrekt konfigurieren muss.
Ich habe nur einen NIC zur Verfügung, deswegen nutze ich VLANs, um den WAN-Traffic an eine pfSense VM (192.168.1.1) weiterzuleiten und über diese meine LAN container, etc. zu verbinden.

Dies ist meine momentane Konfiguration:

Code:
source /etc/network/interfaces.d/*


auto lo
iface lo inet loopback


auto enp3s0
iface enp3s0 inet manual


auto vmbr0
iface vmbr0 inet static
        address  192.168.1.2
        netmask  24
        gateway  192.168.1.1
        bridge-ports enp3s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        dns-nameservers 209.222.18.222 209.222.18.218 8.8.8.8

Nun möchte ich wie gesagt eine DMZ einrichten, auf welcher nachher eine NGINX reverse proxy VM laufen soll (das scheint nicht das sicherste Setup zu sein, aber immerhin besser als wenn auch der reverse proxy im LAN ist, wie ich denke?). Zu diesem Zweck benötige ich eine weitere Bridge zwischen pfSense und besagter NGINX VM.

Mein Plan, dies umzusetzen, sieht wie folgt aus:

-> In Proxmox eine weitere Linux bridge vmbr1 hinzufügen, ohne weitere Einstellungen:
Code:
auto vmbr1
iface vmbr1 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
#DMZ Network
-> Diese Bridge als VirtIO(Paravirtualized) zu pfSense hinzufügen und dort damit ein neues Interface konfigurieren.
-> Diese Bridge wiederum als VirtIO(Paravirtualized) zur NGINX Konfiguration hinzufügen.

Würde diese Konfiguration so funktionieren? Im Endeffekt wäre dann mein Ziel, vom WAN HTTP/S an die NGINX VM im DMZ weiterzuleiten, und in diesem DMZ nur einigen ausgewählten Ports Zugriff auf LAN zu gewähren (und den Zugriff direkt auf die Firewall vom DMZ aus zu verbieten) . Der Traffic nach außen soll sowohl für LAN als auch DMZ gewährleistet sein. Braucht es dazu in Proxmox dann noch weitere/andere Einstellungen?
 
Last edited:
Jetzt muss ich noch mal einen Necro dieses Threads machen, da ich auch eine DMZ aufbauen will ...

Ich gehe mal davon aus, dass ein Angreifer meine DMZ VM übernommen hat und nun Rootrechte besitzt. Desweiteren gehe ich mal davon aus, dass der Angreifer nicht einfach auf den Proxmox-Host ausbrechen kann.

Kann ich über dieses Setup auch sicherstellen, dass ein potentieller Angreifer mit Rootrechten auf der DMZ-VM sich nicht einfach eine statische IP ohne VLAN Tag auf dem Interface erzeugt und darüber auf mein internes Netzwerk zugreift?
Wäre gut, wenn selbst ein Root Nutzer auf der VM nur über das Interface mit VLAN in meinem internen Netz unterwegs sein kann.
 
Wenn du einer VM ein VLAN Tag oder ein Interface ohne VLAN gibst, kann die VM natürlich nur mit dem VLAN sprechen.
Wenn du auf deiner Firewall VLAN Tags zulässt, könnte man theoretisch Pakete faken und mit falschem VLAN Tag ausstatten. Nur die Antwort muss wieder geroutet werden.
Eigentlich ist das recht sicher nur die Firewall muss final alles korrekt absichern.
 
Wenn du einer VM ein VLAN Tag oder ein Interface ohne VLAN gibst, kann die VM natürlich nur mit dem VLAN sprechen.
Wenn du auf deiner Firewall VLAN Tags zulässt, könnte man theoretisch Pakete faken und mit falschem VLAN Tag ausstatten. Nur die Antwort muss wieder geroutet werden.
Eigentlich ist das recht sicher nur die Firewall muss final alles korrekt absichern.
Das war eigentlich der Plan, dass die Firewall sicherstellt, dass nur korrekter Traffic von der VM ins interne Netz kommt.
Ich war mir etwas unsicher, ob ein Root User auf der VM ein Interface ohne VLAN Tag anlegen könnte.

Mein aktuelles Setup:
MGMT: 192.168.0.0/24 VLAN 1 (Proxmox, u.a.)
DMZ: 192.168.50.0/24 VLAN 50 ( DMZ VMs)

Ich würde gern sicherstellen, dass eine VM, die in den Network Settings von Proxmox für die VM ein Tag 50 (DMZ) konfiguriert bekommen hat sich nicht irgendwie eine IP im Netzwerk MGMT bzw. mit dessen Tag anlegen kann. Dann wären die ganzen Firewall-Regeln recht nutzlos.
 
Das kannst du nur auf Hostebene. Es gibt natürlich böse Jungs, die IP Pakete manipulieren und vorgauckeln, dass dieses aus einem anderen VLAN kommen, aber das ist nicht ganz so einfach. Im Normalfall ist das Safe.
 
Das kannst du nur auf Hostebene. Es gibt natürlich böse Jungs, die IP Pakete manipulieren und vorgauckeln, dass dieses aus einem anderen VLAN kommen, aber das ist nicht ganz so einfach. Im Normalfall ist das Safe.
Top, vielen Dank für die Antwort!
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!