Bridge-Port Host isolation

Ingo S

Renowned Member
Oct 16, 2016
333
38
68
40
Hallo zusammen

Wir haben auf unserem Proxmox Cluster ein paar VMs in einer DMZ. Diese DMZ hat ihre eigene Bridge und kann über diese nur mit unserer Firewall kommunizieren. Allerdings: Da die Hosts in der DMZ alle im gleichen Netz sind, können die Hosts untereinander auch ohne Firewall kommunizieren.

Das ist ungünstig. Für den Fall das ein Host in der DMZ kompromittiert ist, will man natürlich die anderen Hosts in der DMZ schützen.
Bei Cisco Switches gibt es dafür das Konzept von privaten VLANs. Ports die z.B. zum VLAN7 gehören aber als privat markiert sind, können nicht mit anderen privaten Ports des VLAN7 kommunizieren, sondern nur mit Ports die nicht als privat markiert sind.
Auf die Art lässt sich prima eine Host Isolation realisieren, ohne das man für jeden Host ein eigenes VLAN und Subnetz bauen muss.

Meine Frage ist: Geht das auch mit der Linux Bridge? Ich hab dazu leider keine guten für mich verständlichen Informationen gefunden.
 
Ja, damit habe ich auch schon "rumgespielt", musste allerdings feststellen, dass ich arge Probleme habe die Firewall in den Griff zu bekommen. Sie macht irgendwie nicht das was ich will. Habe damit schon einige Male unseren kompletten Cluster von der Außenwelt abgeschnitten etc.

Der Gedanke ist, wenn es ein solches Konzept auch für die Linux Bridge gibt, kann ich mir die Konfiguration der Proxmox Firewall sparen. Wir haben ja bereits eine Firewall für alles Andere und es ist etwas unsauber, Firewalls an mehreren Stellen zu haben und Pflegen zu müssen.
 
Ich denke nicht das es so ein Konzept für die Bridge gibt, bin da aber auch nicht wissend.

Aber wie kann man den ganzen Cluster aussperren wenn man nur an der VM Konfiguration die Firewall einstellt?


Grüße
 
Indem die Firewall auf mir nicht erklärliche Weise einfach jeden Traffic geblockt hat, sobald ich den Haken gesetzt habe. Sowohl Corosync, als auch Ceph haben eigene Netze (physikalisch und logisch). Ich hatte keine Regeln erstellt, einfach nur die Firewall aktiviert und nach wenigen Sekunden wurde klar, das gerade der Cluster auseinander geflogen ist.
Seitdem habe ich mir verschiedenen Regelwerken versucht, Corosync und Ceph zu erlauben, hatte aber immer auch andere Nebeneffekte wie das dann einige oder alle Dienste die auf den VMs laufen, nicht erreichbar waren etc.
Das Ganze ist schon eine Weile her, aber ich habs erstmal aufgegeben, da wir NOCH keinen Test Cluster haben und ich alles am Live System machen muss.
Diesen Herbst werde ich aber hoffentlich endlich Gelegenheit haben den Test-Cluster zu bauen.
 
da wir NOCH keinen Test Cluster haben und ich alles am Live System machen muss.

Warum keinen virtuellen Cluster mit 2 VMs zum testen?
 
Ja das kann man natürlich auch machen. Ist vom Aufwand her ungefähr der gleiche wie ein physikalisches Testsystem. Ich hatte nur noch keine Zeit, das wirklich richtig zu Ende zu verfolgen. Bei mir laufen gefühlt 20 Projekte gleichzeitig :eek:

Wir wollen aber auf dem Testsystem später nicht nur ein bisschen mit dem Netzwerk rum spielen, sondern auch komplette neue Systeme aufbauen, testen und später dann live in Betrieb nehmen. Da brauchen wir durchaus etwas mehr Substanz. Virtualisierung in der Virtualisierung kommt da durchaus an seine Grenzen.
 
Wir haben eine "virtuelle DMZ" mit entsprechenden Firewalleinstellungen die über mehrere VMs geteilt werden und sämtlichen eingehenden und ausgehenden Traffic reglementieren. Das klappt super und durch das "Security Group" Feature in PVE super schnell anzuwenden.

Wichtig ist jedoch, dass der gesamte Cluster mit einer aktivierten Firewall läuft und ja, ich hab' mich am Anfang auch ausgesperrt. Die PVE-Firewall ist am Anfang nicht recht zu durchschauen, aber das wird schnell wenn man sich etwas damit beschäftigt.
 
:D:rolleyes: Ich hab schon fast befürchtet, das es doch auf die Firewall hinaus läuft. Mit L2 host isolation via private vlan wäre es ja auch zu einfach gewesen :D
Nagut, dann wird das was für Herbst und den Winter: Komplette PVE Testumgebung bauen, dann PVE Firewall lernen...
 
  • Like
Reactions: CoolTux

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!