Hallo,
ich will in nächster Zeit ein paar Dienste auf einem Rootserver konsolidieren. Ich werde wohl 4 IP-Adressen zur Verfügung haben (Hetzner oder OVH) und Frage mich wie ich am geschicktesten mit den Adressen umgehe.
Nun hatte ich heute durch Zufall in der Firma mit einer entfernten Zweigstelle zu tun und habe gesehen, dass die dort eine ähnliche Situation haben .... eine S-DSL Verbindung von Q-DSL mit 5 öffentlichen IP-Adressen und einen VmWare ESXi Server. Der Dienstleister, der die betreut, hat auf dem ESX einen IPCop-Server aufgesetzt, der die Verbindung zu unserer PIX über IPsec hält und auf dem noch ein paar weitere OpenVPN Verbindungen eingerichtet sind.
Das Netzwerk ist wie folgt eingerichtet:
- die öffentlichen Adressen nach außen (rote Interfaces)
- ein gelbes Interface (DMZ)
- ein grünes Interface (lokales Netz)
Die Netze sind jeweils über virtuelle Switche (das Prinzip ist bei Xen/ESX ja dasselbe?!) voneinander getrennt. Zudem ist ein ganzer Haufen undurchsichtiger NAT und IPTables-Regeln auf dem Cop eingerichtet. Dienste die von außen erreichbar sein sollen werden wohl einfach per NAT vom roten Interface auf eine IP im gelben Netz übersetzt.
Da ich eh sowenige IP's habe (nicht für jede virtuelle Maschine eine), gefällt mir die Idee, die öffentlichen IP's nur auf bestimmte Ports der virtuellen Maschine zu leiten. Zum Beispiel könnte ich per NAT einmal von der ersten externen IP auf der virtuellen Maschine 1 den Port 3389 freigeben
rolleyes und gleichzeitig den Port 80 der selben öffentlichen IP auf der zweiten virtuellen Maschine bereitstellen. Müsste also nicht IP-Adressen verschwenden, obwohl nur wenige Ports jeweils nach außen erreichbar sind.
Ich müsste nichtmal SSH nach außen freigeben sondern würde es nur auf den Cop freigeben und sonst nur über das grüne Netz, mit dem ich über OpenVPN verbunden bin.
Schönes Gedankenspiel soweit (wird ja auch in der Filiale so praktiziert) ... aber was spricht in einer Rootserver-Umgebung dagegen? Kriege ich Probleme mit einigen Diensten wenn ich NATte? Auf Mailservern vielleicht? An welcher Stelle kriege ich Probleme, weil die virtuellen Maschinen nur ihre lokale IP-Adresse kennen und nicht die öffentliche? Schmeiße ich mit so einer Software-Firewall Performance im beträchtlichen Rahmen überbord?
Wie kriege ich überhaupt die IP's auf den Cop, wenn diese an die MAC vom Host gebunden sind?
Danke für euren fachkräftigen Rat im voraus ... wenn man zulange über sowas nachdenkt kriegt man ja Kopfschmerzen.
ich will in nächster Zeit ein paar Dienste auf einem Rootserver konsolidieren. Ich werde wohl 4 IP-Adressen zur Verfügung haben (Hetzner oder OVH) und Frage mich wie ich am geschicktesten mit den Adressen umgehe.
Nun hatte ich heute durch Zufall in der Firma mit einer entfernten Zweigstelle zu tun und habe gesehen, dass die dort eine ähnliche Situation haben .... eine S-DSL Verbindung von Q-DSL mit 5 öffentlichen IP-Adressen und einen VmWare ESXi Server. Der Dienstleister, der die betreut, hat auf dem ESX einen IPCop-Server aufgesetzt, der die Verbindung zu unserer PIX über IPsec hält und auf dem noch ein paar weitere OpenVPN Verbindungen eingerichtet sind.
Das Netzwerk ist wie folgt eingerichtet:
- die öffentlichen Adressen nach außen (rote Interfaces)
- ein gelbes Interface (DMZ)
- ein grünes Interface (lokales Netz)
Die Netze sind jeweils über virtuelle Switche (das Prinzip ist bei Xen/ESX ja dasselbe?!) voneinander getrennt. Zudem ist ein ganzer Haufen undurchsichtiger NAT und IPTables-Regeln auf dem Cop eingerichtet. Dienste die von außen erreichbar sein sollen werden wohl einfach per NAT vom roten Interface auf eine IP im gelben Netz übersetzt.
Da ich eh sowenige IP's habe (nicht für jede virtuelle Maschine eine), gefällt mir die Idee, die öffentlichen IP's nur auf bestimmte Ports der virtuellen Maschine zu leiten. Zum Beispiel könnte ich per NAT einmal von der ersten externen IP auf der virtuellen Maschine 1 den Port 3389 freigeben
rolleyes und gleichzeitig den Port 80 der selben öffentlichen IP auf der zweiten virtuellen Maschine bereitstellen. Müsste also nicht IP-Adressen verschwenden, obwohl nur wenige Ports jeweils nach außen erreichbar sind.Ich müsste nichtmal SSH nach außen freigeben sondern würde es nur auf den Cop freigeben und sonst nur über das grüne Netz, mit dem ich über OpenVPN verbunden bin.
Schönes Gedankenspiel soweit (wird ja auch in der Filiale so praktiziert) ... aber was spricht in einer Rootserver-Umgebung dagegen? Kriege ich Probleme mit einigen Diensten wenn ich NATte? Auf Mailservern vielleicht? An welcher Stelle kriege ich Probleme, weil die virtuellen Maschinen nur ihre lokale IP-Adresse kennen und nicht die öffentliche? Schmeiße ich mit so einer Software-Firewall Performance im beträchtlichen Rahmen überbord?
Wie kriege ich überhaupt die IP's auf den Cop, wenn diese an die MAC vom Host gebunden sind?
Danke für euren fachkräftigen Rat im voraus ... wenn man zulange über sowas nachdenkt kriegt man ja Kopfschmerzen.
Last edited by a moderator:
