Netzwerk / sichere Zone

[cainam]

Hallo zusammen

Hier habe ich versucht mein Netzwerk zuhause abzubilden.

Nun möchte ich ein neuen VM Sever machen welche nur ein Java ausführt welches wiederum Daten von verschiedenen Webseiten holt diese aggregiert und auf andere Webpage rauflät. Auf diese VM soll von extern zugegriffen werden können (zu Admin), darüber darf aber nicht auf das restliche Netzwerk zugegriffen werden (da der Admin in China sitzt…)

Frage
-wie realisiere ich das
-ist das so wie heute aufgesetzt sicher?

Danke und Gruss raphi

 

[shrdlicka]

Hi,

du müsstest dich mit den Firewall regeln spielen (Firewall aktivieren nicht vergessen). In den Optionen setzt du für die VM Input/Output Policy auf DROP und erlaubst nur mehr eine bestimmte Liste an IPs, zu denen sich die VM verbinden darf. Wäre vermutlich recht aufwendig aufzusetzen zu beginn.

 

[cainam]

Hi,

du müsstest dich mit den Firewall regeln spielen (Firewall aktivieren nicht vergessen). In den Optionen setzt du für die VM Input/Output Policy auf DROP und erlaubst nur mehr eine bestimmte Liste an IPs, zu denen sich die VM verbinden darf. Wäre vermutlich recht aufwendig aufzusetzen zu beginn.

erm und wie mache ich das?

 

[shrdlicka]

In Datacenter/Firewall/Options aktivierst du die Firewall, ebenso für die VM und das interface das sie verwendet.

Bei der VM oder Firewall/Options kannst du Input & output policy of DROP setzen. Dann sollte die VM eigentlich nichts mehr erreichen können. Dann kannst du Regeln hinzufügen wie diese hier. Diese erlaubt Verbindungen zum Server 8.8.8.8 mit allen Ports und Protokollen. Das müsstest du für die Webseiten auch machen.

 

[Dunuin]

Du könntest auch eine OPNsense/pfsense VM als Router aufsetzen und dann in PVE eine neue Bridge erstellen die du als DMZ nutzt. Die OPNsense/pfsense könnte dann als firewall dienen und zwischen LAN, DMZ und Internet routen. Am besten mal ins Thema DMZ einlesen.