VM Internet ausschalten

cainam

Member
Aug 5, 2020
51
0
11
44
Hallo zusammen

Ich betreibe 2 VM und eine LXC über Proxmox. (ioBroker, Conbee und influxdb (LTC). Nun von denen braucht eigentlich nur ioBroker zugriff aufs internet. Wie kann ich aus sicherheitsüberlegungen bei den anderen das internet ausschalten (lohnt sich das überhaupt wegen Sicherheit?) So wie ich sehe bei dem LXC ist das automatisch deaktiviert, aber bei dem VM?
Ich verstehe nicht viel von DEBIAN, resp. bin neuling. Darum möchte ich hier nicht türen für irgendwelche angriffe auf mein System offen halten...
Danke und Gruess Raphael
 
Das Problem ist meist nicht der Zugriff auf das Internet sondern der Zugriff vom Internet zu dir. Guck da das der Server hinter einer Firewall sitzt die alles aus dem Internet eingehende blockt und gebe nur den VMs/LXCs einen Port-Forward, die auch wirklich vom Internet aus erreichbar sein sollen.
 
Last edited:
Das Problem ist meist nicht der Zugriff auf das Internet sondern der Zugriff vom Internet zu dir. Guck da das der Server hinter einer Firewall sitzt die alles aus dem Internet eingehende blockt und gebe nur den VMs/LXCs einen Port-Forward, die auch wirklich vom Internet aus erreichbar sein sollen.

Kannst du mir das genauer erklären. in Proxmox habe ich den "firewall" hacken drin... reicht das? eigentlich müssten die beiden gar nicht aus dem internet erreichbar sein... nur aus dem netzwerk (influx/grafana speichert nur daten von meinem smarthome und die VM conbee holt nur die infos von den geräten...) aber alle im eigenen netzwerk 192.168.0.xxx
 
Kannst du mir das genauer erklären. in Proxmox habe ich den "firewall" hacken drin... reicht das? eigentlich müssten die beiden gar nicht aus dem internet erreichbar sein... nur aus dem netzwerk (influx/grafana speichert nur daten von meinem smarthome und die VM conbee holt nur die infos von den geräten...) aber alle im eigenen netzwerk 192.168.0.xxx
Komplett den Zugriffs auf das Internet zu verbieten ist ja auch nicht wirklich sinnvoll. VMs/LXCs müssen regelmäßig aktualisiert werden um Sicherheitslücken zu schließen. Ohne Internet klappt das natürlich nicht wirklich.
Und LXC+VMs sollten eigentlich alle standardmäßig in das Internet kommen. KA wie du darauf kommst, dass das bei LXCs anders wäre.

Nein, ich rede nicht von der Firewall von Proxmox sondern von deiner externen Firewall. Also z.B. die in einem Router, wenn das ein Heimserver ist und keiner im Rechenzentrum. Und die Proxmox Firewall zu aktivieren hilft erstmal Null. Man muss die dan nauch global noch im Proxmox-Datacenter aktivieren, sonst werden die aktivierten Firewalls in den VMs einfach ignoriert. Und ohne gute Filterregeln bringt eine aktivierte Firewall auch nichts. Da solltest du dich vorher gut in "ipfilter" einlesen damit du weißt, was du da genau tust. Sonst schafft man sich da durch unwissenheit mehr Sicherheitslücken als man schließt.
Die Proxmox Firewall ist eher nützlich um die Kommunikation zwischen den Geräten im Heimnetz zu unterbinden. Also z.B. um schäden zu minimierten, wenn eine VM bereits gehackt wurde, dass die dann im Heimnetz nicht ganz so große Schäden anrichten kann.
Du willst ja aber das Fremde garnicht erst in dein Heimnetz kommen. Dafür ist dann das Gerät zuständig, was das NAT zwischen Internet und Heimnetz macht...also der Router.
 
Last edited:
achso... ja das ist der standard vom cablecom anbieter... der sollte schon einigermassen funktionieren.. aber ich habe halt angst dass ich durch mein unwissen in debian irgendwelche türen sperrangelweit offen habe...
 
Solange dein Router nichts durchlässt ist das eigentlich nicht so wild. Aufpassen musst du dann erst wenn du einen Port-Forward machst und damit die Firewall des Routers umgehst.
Ansonsten müssten die Angreifer ja schon im Heimnetz sein um die VM anzugreifen und dann wäre die VM dein kleinstes Problem, wenn schon das ganze Heimnetz unsicher ist.
Da würde ich mir dann eher sorgen um ein NAS oder die Windows rechner machen, mit denen man vielleicht noch Onlinebanking etc betreibt.

Wenn du die Sicherheit erhöhen willst könntest du dein Heimnetz in mehrere isolierte Subnetze gliedern. Z. B. eines als DMZ für VMs/LXCs wo du deine Dienste hostest die vom Internet aus erreichbar sein sollen. Wird dann eine VM gehackt, dann kommt die gehackte VM wenigstens nicht an die anderen Rechner im Heimnetz dran.
Und da du ja anscheinend SmartHome betreibst würde sich noch ein IoT Subnetz anbieten, dass da all die IoT-Geräte (die ja oft nicht gerade vertrauenserweckend sind) keinen Zugang zum Heimnetz haben.

Router für eine DMZ könnte man mit OPNsense als VM aufsetzen. Für ein IoT Subnetz will man dann aber vermmutlich einen richrigen neuen physischen Router (OpenWRT z. B.) wegen WLAN AP etc.
 
Last edited:

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!