abgekapseltes Netzwerk für "Spielumgebung" ...

[drnicolas]

Ich möchte gerne eine irgendwie vom Rest des Netzwerks getrennte umgebung für einen Server und 1-2 Workstations schaffen um "gefahrlos" Dinge auszuprobieren.

Der Server ist ein Oracle-Server, den ich zumindest schonmal als virtuelle Kopie habe.

Die naheliegendste Lösung wäre das Ändern der IP-Adresse auf ein anderes Subnetz.
Das erfordert aber mehr als nur die Änderung der IP-Adresse und die Asuwirkungen sind momentan nicht absehbar.

Vor allem, da in der Theorie die ANgliehcung des Datenbestandes zwischen realen Server rund dem Test-server durch simples Kopieren von Verzeichnissen erfolgen könnte.

Gibt es da eine Lösung?

 

[UdoB]

Ich habe für Experimente, die keinen Zugriff auf "das Internet" benötigen einfach ein semi-isoliertes Netzwerk definiert. (Alles hier ohne SDN.)

"Semi-isoliert" soll hier bedeuten, dass mein Router schlicht kein Interface in dem Netz hat. Das versehentliche kontaktieren dieses Netzes ist sowohl eingehend und auch ausgehend vollkommen ausgeschlossen. Aber cluster-weit können Maschinen innerhalb dieses Netz natürlich problemlos kommunizieren.

Vermutlich ist das nicht, was du willst ;-)

Ein anderes meiner Netze hat sehr wohl Kontakt zum Router. Allerdings wird dort (wie üblich) per Default alles ge-dropped und meine Standard-Regeln wie "ausgehend ist alles erlaubt, ssh eingehend ist erlaubt, icmp ist erlaubt" fehlen dort vollständig. Der Unterschied zu oben ist, dass ich nun "erlaube Zugriff auf Ziel xyz von Maschine abc aus" sehr spezifisch angeben kann.

Sowohl im Job als auch zuhause verwende ich für so etwas einen VLAN-basierten Ansatz. Eine handvoll gegenseitig isolierter Netze bilden dazu die fundamentale Grundlage.

Hilft das als Denkanstoß?

Ohne VLAN-fähige Umgebung kann man natürlich auch einfach eine zweiten "dummen" Switch nehmen und dort jeweils eine Netzwerkkarte der Nodes einstecken. Ohne Uplink zum Router. Die Bridge, die man dann in PVE dort anbinden kann, erfüllt dann dieselbe Funktion wie mein erster Absatz oben.

Und man kann natürlich mehrere IP-Netze auf demselben dummen Switch betreiben. Diese Netze sind dann logisch voneinander getrennt, bringen aber Null Isolation: jeder Rechner, der dort eingesteckt ist, kann sich ja einfach eine Adresse aus dem anderen Netz greifen. Und natürlich auch dort sniffen. Dies ist also ein Null-Sicherheit-Ansatz.