Hallo zusammen
Wir haben auf unserem Proxmox Cluster ein paar VMs in einer DMZ. Diese DMZ hat ihre eigene Bridge und kann über diese nur mit unserer Firewall kommunizieren. Allerdings: Da die Hosts in der DMZ alle im gleichen Netz sind, können die Hosts untereinander auch ohne Firewall kommunizieren.
Das ist ungünstig. Für den Fall das ein Host in der DMZ kompromittiert ist, will man natürlich die anderen Hosts in der DMZ schützen.
Bei Cisco Switches gibt es dafür das Konzept von privaten VLANs. Ports die z.B. zum VLAN7 gehören aber als privat markiert sind, können nicht mit anderen privaten Ports des VLAN7 kommunizieren, sondern nur mit Ports die nicht als privat markiert sind.
Auf die Art lässt sich prima eine Host Isolation realisieren, ohne das man für jeden Host ein eigenes VLAN und Subnetz bauen muss.
Meine Frage ist: Geht das auch mit der Linux Bridge? Ich hab dazu leider keine guten für mich verständlichen Informationen gefunden.
Wir haben auf unserem Proxmox Cluster ein paar VMs in einer DMZ. Diese DMZ hat ihre eigene Bridge und kann über diese nur mit unserer Firewall kommunizieren. Allerdings: Da die Hosts in der DMZ alle im gleichen Netz sind, können die Hosts untereinander auch ohne Firewall kommunizieren.
Das ist ungünstig. Für den Fall das ein Host in der DMZ kompromittiert ist, will man natürlich die anderen Hosts in der DMZ schützen.
Bei Cisco Switches gibt es dafür das Konzept von privaten VLANs. Ports die z.B. zum VLAN7 gehören aber als privat markiert sind, können nicht mit anderen privaten Ports des VLAN7 kommunizieren, sondern nur mit Ports die nicht als privat markiert sind.
Auf die Art lässt sich prima eine Host Isolation realisieren, ohne das man für jeden Host ein eigenes VLAN und Subnetz bauen muss.
Meine Frage ist: Geht das auch mit der Linux Bridge? Ich hab dazu leider keine guten für mich verständlichen Informationen gefunden.