2. NIC nur für checkMK zugänglich machen?

[whiterabbit]

Hallo.
Ich habe hier einen Server, der in dem Netz, im dem checkMK läuft, eigentlich nichts zu suchen hat. Daher will ich auch die 2. NIC, die dort steckt, nicht einfach mit dem "checkMK-Netzwerk" verbinden. Vielleicht geht es aber doch, indem man den Zugriff so einschränkt, dass nur die MAC/IP vom checkMK-Host und sonst nichts und niemand auf den PVE-Host zugreifen darf. Wie könnte man das am einfachsten realisieren? Firewall-Regeln auf dem PVE-Host oder geht das anders?

 

[Dunuin]

Ja, Firewall-Regel auf Datacenter- oder Node-Ebene die alles ein- und ausgehende auf der zweiten NIC dropt was nicht vom CheckMK-Server kommt oder soll. Auch nicht vergessen die versteckten Anti-Lockout-Regeln zu überschreiben, dass da SSH und WebUI/API nicht erreichbar sind.

 

[whiterabbit]

Auch nicht vergessen die versteckten Anti-Lockout-Regeln zu überschreiben, dass da SSH und WebUI/API nicht erreichbar sind.

Ok -- wenn Du mir noch einen Tipp gibst, wo ich das deaktivere?? Wie gut versteckt sind diese Optionen denn?

 

[Dunuin]

Naja, man kann sie über die GUI garnicht erst sehen oder deaktivieren, weil man sich dann ja versehentlich aussperren könnte.
Dort sind die Ports beschrieben: https://pve.proxmox.com/wiki/Firewall#pve_firewall_default_rules

Wenn ich es richtig sehe sollte eine eigene Regel eine höhere Priorität haben und wenn du alle eingehenden Ports (außer die für CheckMK) dropst, dann sollte auch die Anti-Lockout-Regeln nicht zum tragen kommen. Einfach mal testen die Income Policy auf Drop zu setzen und dann noch zusätzliche Drop Regeln für die Ports aus dem Wiki anlegen und gucken ob dann SSH und WebUI nicht mehr erreichbar sind.