Einem Container den Zugriff auf den Host verbieten
- Thread starter bforpc
- Start date
Wenn du dem CT die IP statisch setzt kannst du die Firewall anmachen und die "IP Filter" Option bei diesem CT anmachen.
Dass filtert dann jeden Traffic der nicht von dieser festgelegten IP stammt.
Genau dafür ist der genannte Filter da. Einfach den CT im Webinterface auswählen, dann bei Firewall → Optionen gibt es einen "IP Filter" Einstellung, die anmachen - etwa 10 sekunden später sollte der CT keine andere IP mehr verwenden können.
Hallo,
OK, das habe ich in den Optionen gefunden und aktiviert.
Status jetzt: Die CT ist aus dem Intranet nicht erreichber. Über den Proxmox Gost angemeldet auf der CT kann ich weiterhin den Proxmox Host erreichen.Also nicht das gewünschte Ziel.
Die pve Firewall ist "enabled/running".
Es existieren keine weiteren Regeln.
Bfo
OK, das habe ich in den Optionen gefunden und aktiviert.
Status jetzt: Die CT ist aus dem Intranet nicht erreichber. Über den Proxmox Gost angemeldet auf der CT kann ich weiterhin den Proxmox Host erreichen.Also nicht das gewünschte Ziel.
Die pve Firewall ist "enabled/running".
Es existieren keine weiteren Regeln.
Bfo
Naja, hat der CT auch eine IP die vom Intranet erreichbar ist?
Bitte mal die Netzwerke etwas genauer beschreiben.
Code:
# cat /etc/network/interfaces
# pct config VMIDHallo,
klaro ist die ct vom Intranet erreichbar gewesen, sonst hätte ich es natürlich nicht geschrieben (aber das ist ja Sache der HW Firewall, also das Routing zwischen dem Intranet (192.168.1.0/24) und dem DMZ Netz (192.168.3.0/24) )
pct config 1154
cat /etc/network/interfaces
bfo
klaro ist die ct vom Intranet erreichbar gewesen, sonst hätte ich es natürlich nicht geschrieben (aber das ist ja Sache der HW Firewall, also das Routing zwischen dem Intranet (192.168.1.0/24) und dem DMZ Netz (192.168.3.0/24) )
pct config 1154
Code:
arch: amd64
cores: 2
hostname: webserver2
memory: 512
nameserver: 9.9.9.9
net0: name=eth1,bridge=vmbr3,gw=192.168.3.101,hwaddr=4E:C5:C5:38:C9:32,ip=192.168.3.154/24,type=veth
onboot: 1
ostype: debian
rootfs: lxc:subvol-1154-disk-1,size=128G
searchdomain: novak.be
swap: 512cat /etc/network/interfaces
Code:
auto lo
iface lo inet loopback
iface enp5s0 inet manual
iface enp0s31f6 inet manual
iface enp1s0 inet manual
iface enp9s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.1.1
netmask 255.255.255.0
gateway 192.168.1.101
bridge_ports enp1s0
bridge_stp off
bridge_fd 0
dns-nameservers 192.168.1.101
dns-search novak.be
auto vmbr11
iface vmbr11 inet manual
bridge_ports enp5s0
bridge_stp off
bridge_fd 0
auto vmbr12
iface vmbr12 inet manual
bridge_ports enp9s0
bridge_stp off
bridge_fd 0
auto vmbr3
iface vmbr3 inet static
address 192.168.3.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0bfo
Ziemlich doofes Netzdesign.
Wieso vergibst Du für Container die selbe Netzwerkkarte welche dem Host auch zugeordnet ist?
Entweder Du arbeitest mit der Firewall für Container und Host oder Du schaffst ein Interface welches keinen Zugriff auf den Host hat.
Wieso vergibst Du für Container die selbe Netzwerkkarte welche dem Host auch zugeordnet ist?
Entweder Du arbeitest mit der Firewall für Container und Host oder Du schaffst ein Interface welches keinen Zugriff auf den Host hat.
Aus Unwissenheit... Kannst du mir bitte ein Beispiel geben, wie es besser wäre?
Ein weiteres Interface mit einem eigenen IP Kreis für die Container habe ich doch (vmbr3)?
Bfo
Und wieso hast Du der vmbr3 eine IP auf dem Proxmox Host zugewiesen? Das brauchst Du doch gar nicht. Es reicht eine IP auf dem Host für das Management. Und dieses Interface gibt man auch nicht in Proxmox für Container und Co frei.
vmbr11 und 12 sind korrekt. So sollte es auch für vmbr3 aus sehen.
vmbr11 und 12 sind korrekt. So sollte es auch für vmbr3 aus sehen.
Na klar hast Du dann noch Zugriff auf den Container. Der hat doch eine eigene IP Adresse. Alles was er braucht ist eine Netzwerkkarte. Die hat er ja vmbr3. Deswegen muss aber der Host (Proxmox) keine IP auf diesem Interface haben.