Ta Xen hela vägen
Jag har en burk hemma som kör NetBSD ovanpå Xen och funderar om det är möjligt/lämpligt att låta den ersätta allt hemma (förutom laptopen), jag är väl lagom medveten om säkerhetsaspekterna med att köra allt på en och samma burk men har insett att risken är liten och konsekvenserna minimala för mig.
Tänkte köra följande:
dom0: NFS/CVS/backup
domU: andra systemtjänster som syslog-ng/dns/ntp/postfix/dhcp
domU: pf
domU: "desktop"
Det är väl inte så genomtänkt men jag skall sätta upp en domU brandvägg som skyfflar trafik mellan mitt interna nät och resten av världen. Jag vill helst att dom0 inte ska ha behöva vara inblandad alls i trafiken så jag antar att jag måste exportera det externa nätverkskortet till denna domän som sedan distribuerar trafiken vidare. Är det några problem med detta förutom att denna domU troligtvis får tillgång till hela adressrymden (saknar IOMMU)?
Sen hade jag också tänkt att denna domU ska sköta en AP för ett trådlöst nätverk men det har jag ingen aning om det är möjligt. Jag ska alltså låta en maskin sköta allt och servera en laptop med nät och disk, eventuellt en framtida Mac Mini kopplad till en TV (via kabel direkt till servern). Det skulle betyda att jag inte behöver någon separat maskin för brandväggen, slopar switchen och spara ström. Laptopen kommer alltså att ansluta via AP:n och brandväggen, skickas vidare till dom0 för access till NFS servern.
Nu när jag ändå är igång, är det bökigt att tvinga anslutningar till AP:n att använda IPSec och certifikat för autentisering (man slår hål i brandväggen om man har ett giltigt cert) istället för att sätta upp authpf+ssh?
Någon som har meckat med sånt här när det blir lite mer avancerat och har lite tips förutom RTFM?
