那些遇到过的问题

如何在DMZ中放置虚拟机?

Gio*_*ano 4 virtualization dmz linux-networking ufw kvm-virtualization

我有一台 Ubuntu 12.04 服务器,运行着几个带有 KVM 的虚拟机。

我想在 Internet 上公开其中一些虚拟机,以便客户可以测试我们正在开发的产品并提供其他产品用于演示目的。

其中一个服务器 NIC 配置了公共 IP。然而,在网络上公开任何内容之前,我想确保如果其中一台虚拟机受到威胁,攻击者不会到达其余主机。

我想做的是将这些虚拟机放入DMZ 中

这些是我计划做的步骤:

  1. 在虚拟化主机中创建一个tap接口(假设是tap1
  2. 使用tap1创建网桥,并在与其他主机分开的子网中为其指定 IP。假设 10.0.0.1
  3. 将 DMZ 虚拟机连接到网桥并静态配置它们的 IP(10.0.0.2、10.0.0.3 等...)
  4. 使用 UFW,禁止从 10.0.0.0/24 到任何内部主机的任何流量,允许从内部主机到 10.0.0.0/24 的流量,并使用端口转发在 Web 上公开虚拟机。

你认为这个设置安全吗?你能提出任何改进或更好/更安全的方法吗?

Mic*_*ton 5

我想确保,如果其中一台虚拟机遭到入侵,攻击者将无法访问其余主机。

为此,除了适当的防火墙之外,您确实需要sVirt,它随 RHEL6/CentOS 6 KVM 主机开箱即用。它甚至已启用并默认工作。我不知道它是否适用于 Ubuntu 设置。

归档时间:

查看次数:

3398 次

最近记录:

13 年 前
相关归档
虚拟化的 MS-DOS 计算机无法通过 IPX 进行通信 18
CoreOS:tcpdump 神秘解决网络问题(使用过多的套接字) 14
linux 用什么集群管理软件? 12
将路由器作为虚拟机运行,是否可行? 12
可以将 KVM 虚拟机移植到 Amazon EC2 吗? 7
Hyper-V 和 AD --> 对小型站点的建议? 6
虚拟机中的 ZFS 4
虚拟机内存空间取证 4
相当于 Cisco 发现协议 (CDP) 的 Linux 服务器? 3
为什么 KVM 需要硬件辅助支持才能安装基于 Linux 的操作系统 2
难疑归档
如何找出我是哪些 AD 组的成员? 246
free 输出中缓冲区/缓存行的含义 189
如何验证网卡的速度? 153
Amazon EC2 术语 - AMI vs. EBS vs. Snapshot vs. Volume 127
如何在 Linux 上监控硬盘负载? 115
Heartbleed:如何可靠且可移植地检查 OpenSSL 版本? 88
我可以向在 screen 会话中运行的活动进程的 STDIN 发送一些文本吗? 86
如何准确检查yum中是否安装了软件包? 74
为什么要在内部使用 IPv6? 57
为什么我必须用 visudo 编辑 /etc/sudoers? 53