Phil1710

New Member
Sep 15, 2021
4
0
1
29
Abend zusammen,
Wie „sicher“ ist eigentlich PCI-Passthrough?

Ich bin aktuell am überlegen folgende Konstellation zu bauen:

1 Host mit einer zusätzlichen Netzwerkkarte. Die Karte hat 2x 10G.
Die beiden Ports sollen per PCI-Passthrough an eine Virtuelle OPNsense weiter gereicht werden.
Hinter der OPNsense habe ich dann 3 Netze.
1. für den Host um ihn per VPN über die OPNsense anzusprechen
2. für meine „produktiven“ VMs
3. Testnetz


Welche Nachteile gibt es in der Hinsicht Sicherheit zwischen der PCI-Passthrough Lösung und einer vorgeschalteten Hardware Firewall?
Ist der Host eventuell bereits durch das PCI-Passthrough angreifbar?


Schonmal danke für eure Antworten,
Und Schönes Wochenende!
 
Ein Problem würde ich schon einmal sehen, wenn sich da irgendwie die ID des PCI Gerätes ändert weil an anderes PCI GErät ausfällt oder ähnliches. Dann würde die NIC nicht mehr in die VMdurchreicht werden, sondern vielleicht ein USB-Controller oder ähnliches und die NIC wäre dann wieder am Host angebunden nicht mehr in der VM. Aber da könnte man dann natürlich den Treiber der NIC am Host blacklisten, damit PVE nichts mit der NIC anfangen kann.
 
Ein Problem würde ich schon einmal sehen, wenn sich da irgendwie die ID des PCI Gerätes ändert weil an anderes PCI GErät ausfällt oder ähnliches. Dann würde die NIC nicht mehr in die VMdurchreicht werden, sondern vielleicht ein USB-Controller oder ähnliches und die NIC wäre dann wieder am Host angebunden nicht mehr in der VM. Aber da könnte man dann natürlich den Treiber der NIC am Host blacklisten, damit PVE nichts mit der NIC anfangen kann.
Dann würde der Host aber erstmal keine IP bekommen. Und es wären natürlich alle VMs offline, was ich durch das Monitoring direkt mit bekommen würde.
Aber ja man könnte die NICs eventuell trotzdem noch Blacklisten :)
Müsste mich nur mal einlesen wo genau man das machen kann.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!