1 komputer, 2 karty sieciowe, 2 publiczne statyczne adresy IP

1

Mój domowy komputer stacjonarny ma dwie karty sieciowe. Używam jednego do moich osobistych potrzeb internetowych i planuję używać drugiego nieco niekonwencjonalnie. Zamierzam utworzyć serwer SOCKS / VPN na maszynie wirtualnej, używać go wyłącznie z zapasową kartą sieciową i nadać mu własny publiczny statyczny adres IP. Obecnie mam jeden „router” bramy i jeden modem jako dyskretne elementy.

Istnieją dwa obszary tego planu, które wciąż są dla mnie tajemnicą.

  1. Mogę izolować ruch maszyny wirtualnej do jednej z kart sieciowych, ale jak izolować ruch maszyny hosta do drugiej?

  2. Jaki jest najbezpieczniejszy i najtańszy sposób na skonfigurowanie tego?

Jak rozumiem, mógłbym otrzymać router, który można flashować z dd-wrt lub OpenWrt, co pozwoliłoby mi na użycie NAT 1: 1 i ujawnienie obu adresów IP publicznie. Mógłbym wtedy umieścić moją istniejącą bramę między kartą sieciową hosta a routerem, aby uzyskać dodatkową warstwę bezpieczeństwa. Ponieważ maszyna wirtualna jest używana poważniej, prawdopodobnie będzie również wymagać sprzętowej warstwy zabezpieczeń wewnątrz routera.

Alternatywnie mogłem dostać przełącznik i inną bramę. Nie kupiłem wcześniej przełącznika i nie jestem pewien, czego szukać w tym kontekście.

Czy brakuje mi innych możliwości?

networking router ip dd-wrt Asanak
źródło
Czy masz nawet wiele publicznych adresów IP (jak w routingu przez Internet)?
Daniel B,
Nie w tej chwili, ale mój dostawca Internetu je oferuje. Mógłbym je mieć z 5 minutowym telefonem. Naprawdę szukam pomocy w moich pytaniach. Nie mam wątpliwości co do elementów mojego postu, o które nie pytałem. Ktoś musi zasugerować, że nie potrzebuję dwóch publicznych adresów IP. Pozwólcie mi to również odrzucić.
Asanak
Witamy. Pytanie o to, co jest najbezpieczniejszym i najtańszym sposobem, zaprasza opinie nie na temat. Ponadto pomocne byłoby wyjaśnienie, co zamierzasz zrobić z maszyną wirtualną.
Twisty Impersonator,
Która część jest nie na temat? Bezpieczeństwo w sieci lub koszt komponentów sieciowych? Chcę hostować serwer SOCKS / VPN na maszynie wirtualnej, z adresem IP, który jest publicznie dostępny i różni się od adresu IP, którego używam do mojego osobistego internetu. To wszystko w oryginalnym poście i nie widzę potrzeby, by więcej szczegółów potrzebowałem, aby odpowiedzieć na moje pytania. Jeśli się mylę, pokaż mi, jak to zrobić. Więcej szczegółów może pomóc innym w rozwiązaniu problemów, o które nie pytam, ale to nie dotyczy mnie.
Asanak,

Odpowiedzi:

0

Możesz izolować najdalszy punkt po prostu nie włączając / konfigurując L3 na interfejsie najszerszym dla tej karty sieciowej (zakładając, że hiperwizor dostarcza sieć do VM za pośrednictwem zmostkowanego interfejsu L2). Zapewni to separację ruchu i podstawowe bezpieczeństwo (tj. Nie narażanie najdalej położonej maszyny wirtualnej).

Jeśli chodzi o większe bezpieczeństwo, jakie są twoje prawdziwe wymagania / obawy?

Od najniższego poziomu do VM - zawsze będzie to coś szkicowego.

Pomiędzy maszyną wirtualną a siecią naprawdę nie potrzebujesz więcej sprzętu. Możesz wdrożyć inną maszynę wirtualną za pomocą OpenWrt lub, cóż, dowolnego innego routera z zabezpieczeniami, a następnie przepuścić przez nią ruch. Następnie podłącz zewnętrzną, zmostkowaną L2 do routera VM i podłącz docelową VM do routera VM za pomocą oddzielnego przełącznika wirtualnego.

Ale po co nawet brać pod uwagę zaporę zewnętrzną, skoro możesz użyć wewnętrznej, w systemie operacyjnym na docelowej maszynie wirtualnej?

Ze względów bezpieczeństwa tak naprawdę nie używałbym NAT 1: 1, a jedynie ujawniał / przekazywał wymagane porty. Daje ci większą kontrolę i zapewnia dodatkową warstwę bezpieczeństwa / komplikacji przeciwko napastnikowi.

Michał Sacharewicz
źródło
Zajmę się problemem interfejsu L2 / L3 - to dla mnie nowe informacje i dziękuję. Być może przesadzam z moimi wyobrażonymi potrzebami bezpieczeństwa. Zdaję sobie sprawę, że porty przekierowujące byłyby bezpieczniejsze, ale chcę więcej niż jednego adresu IP; to nie jest aspekt planu, który chcę zmienić.
Asanak
Ale selektywne przekazywanie nie powstrzymuje Cię przed użyciem dwóch adresów IP. Przyjąłem, że (a) skoro w ogóle mówisz o NAT, to oba adresy IP zostaną przypisane do routera i (b) ponieważ możesz wykonać NAT 1: 1 z jednego publicznego adresu IP do jednego lokalnego adresu IP, a następnie router obsługuje reguły translacji NAT zależne od adresu docelowego. Jeśli to prawda, możesz zdefiniować osobne selektywne reguły NAT dla obu adresów publicznych, tj. nat match dest ip public1 port 80,443 target ip roothostoraznat match dest ip public2 port 80,443,1194 target ip vm
Michał Sacharewicz
Dobra, tak, widzę, że problem z przekierowaniem portów jest nadal istotny w przypadku drugiego publicznego adresu IP. Nie mówię jednak o web proxy. Nie jestem pewien, czy chcę ograniczyć porty używane przez serwer maszyny wirtualnej. W każdym razie mogę poradzić sobie z tym później, gdy tylko ustawię niezbędny sprzęt. Wygląda na to, że wystarczy pojedynczy router, który mogę sflashować za pomocą oprogramowania innej firmy. Wygląda na to, że próba zrobienia czegoś z interfejsem L3 będzie poza moimi możliwościami. Wyodrębnienie dwóch kart sieciowych na hoście wygląda na problem nie do przezwyciężenia, więc będę musiał przejść na używanie drugiego komputera.
Asanak
O jakim środowisku mówimy? (najwyższy system operacyjny i wirtualizacja)
Michał Sacharewicz
Środowisko to Windows. Maszyna wirtualna jest nieokreślona. Gdybym nie potrzebował żadnych specjalnych możliwości, chciałbym po prostu użyć VirtualPC dla Windows i trybu Windows XP, ponieważ byłyby dla mnie darmowe. Ale byłem elastyczny na VM.
Asanak,
0

Jeśli dostawca usług internetowych skonfiguruje drugi adres do „przekierowania” na główny adres IP (lub jeśli łącze internetowe z routera jest oparte na technologii punkt-punkt, takiej jak PPPoE):

  • Możesz przypisać adres IP routerowi i wykonać DNAT na wewnętrzny adres serwera.

  • Jeśli router obsługuje niestandardowe trasy statyczne, NAT 1: 1 jest bezużyteczny - można dodać trasę statyczną dla drugiego adresu IP albo do adresu LAN serwera, albo do samego interfejsu LAN, a następnie przypisać ten adres (jako / 32) do serwer bezpośrednio.

Jeśli twoje łącze internetowe z routera jest standardowym Ethernetem (a nie PPPoE) i jeśli ISP skonfiguruje drugi adres jako „on-link”:

  • Możesz umieścić ogólny przełącznik przed portem WAN routera i podłączyć do niego serwer. Zrobi to niezarządzany przełącznik. W tym przypadku trzeba by użyć własnego firewall serwera, będąc bardzo ostrożnym, nie przypadkowo wystawiając np iLO / IDRAC do Internetu.

  • Możesz przypisać adres IP routerowi i wykonać DNAT na wewnętrzny adres serwera, tak jak powyżej.

  • Możesz przypisać adres IP bezpośrednio do serwera, a następnie włączyć proxy-ARP i dodać trasę statyczną dla tego adresu w routerze (tak samo jak powyżej, z wyjątkiem proxy-ARP).

W każdym razie białej listy portów można dokonać za pośrednictwem zapory ogniowej na routerze lub na serwerze, niezależnie od NAT lub trybów routingu.

grawitacja
źródło