2. NIC nur für checkMK zugänglich machen?

Dec 19, 2012
495
14
83
Hallo.
Ich habe hier einen Server, der in dem Netz, im dem checkMK läuft, eigentlich nichts zu suchen hat. Daher will ich auch die 2. NIC, die dort steckt, nicht einfach mit dem "checkMK-Netzwerk" verbinden. Vielleicht geht es aber doch, indem man den Zugriff so einschränkt, dass nur die MAC/IP vom checkMK-Host und sonst nichts und niemand auf den PVE-Host zugreifen darf. Wie könnte man das am einfachsten realisieren? Firewall-Regeln auf dem PVE-Host oder geht das anders?
 
Ja, Firewall-Regel auf Datacenter- oder Node-Ebene die alles ein- und ausgehende auf der zweiten NIC dropt was nicht vom CheckMK-Server kommt oder soll. Auch nicht vergessen die versteckten Anti-Lockout-Regeln zu überschreiben, dass da SSH und WebUI/API nicht erreichbar sind.
 
Naja, man kann sie über die GUI garnicht erst sehen oder deaktivieren, weil man sich dann ja versehentlich aussperren könnte.
Dort sind die Ports beschrieben: https://pve.proxmox.com/wiki/Firewall#pve_firewall_default_rules

Wenn ich es richtig sehe sollte eine eigene Regel eine höhere Priorität haben und wenn du alle eingehenden Ports (außer die für CheckMK) dropst, dann sollte auch die Anti-Lockout-Regeln nicht zum tragen kommen. Einfach mal testen die Income Policy auf Drop zu setzen und dann noch zusätzliche Drop Regeln für die Ports aus dem Wiki anlegen und gucken ob dann SSH und WebUI nicht mehr erreichbar sind.
 
Last edited:

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!