Permalänk
Inaktiv

Ta Xen hela vägen

Jag har en burk hemma som kör NetBSD ovanpå Xen och funderar om det är möjligt/lämpligt att låta den ersätta allt hemma (förutom laptopen), jag är väl lagom medveten om säkerhetsaspekterna med att köra allt på en och samma burk men har insett att risken är liten och konsekvenserna minimala för mig.

Tänkte köra följande:

dom0: NFS/CVS/backup
domU: andra systemtjänster som syslog-ng/dns/ntp/postfix/dhcp
domU: pf
domU: "desktop"

Det är väl inte så genomtänkt men jag skall sätta upp en domU brandvägg som skyfflar trafik mellan mitt interna nät och resten av världen. Jag vill helst att dom0 inte ska ha behöva vara inblandad alls i trafiken så jag antar att jag måste exportera det externa nätverkskortet till denna domän som sedan distribuerar trafiken vidare. Är det några problem med detta förutom att denna domU troligtvis får tillgång till hela adressrymden (saknar IOMMU)?

Sen hade jag också tänkt att denna domU ska sköta en AP för ett trådlöst nätverk men det har jag ingen aning om det är möjligt. Jag ska alltså låta en maskin sköta allt och servera en laptop med nät och disk, eventuellt en framtida Mac Mini kopplad till en TV (via kabel direkt till servern). Det skulle betyda att jag inte behöver någon separat maskin för brandväggen, slopar switchen och spara ström. Laptopen kommer alltså att ansluta via AP:n och brandväggen, skickas vidare till dom0 för access till NFS servern.

Nu när jag ändå är igång, är det bökigt att tvinga anslutningar till AP:n att använda IPSec och certifikat för autentisering (man slår hål i brandväggen om man har ett giltigt cert) istället för att sätta upp authpf+ssh?

Någon som har meckat med sånt här när det blir lite mer avancerat och har lite tips förutom RTFM?

Permalänk
Medlem

Re: Ta Xen hela vägen

Citat:

Ursprungligen inskrivet av mickeus
Jag har en burk hemma som kör NetBSD ovanpå Xen och funderar om det är möjligt/lämpligt att låta den ersätta allt hemma (förutom laptopen), jag är väl lagom medveten om säkerhetsaspekterna med att köra allt på en och samma burk men har insett att risken är liten och konsekvenserna minimala för mig.

Tänkte köra följande:

dom0: NFS/CVS/backup
domU: andra systemtjänster som syslog-ng/dns/ntp/postfix/dhcp
domU: pf
domU: "desktop"

desktop delen är väll mer normalt att man kör som dom0, men smaken är som baken..

Citat:

Det är väl inte så genomtänkt men jag skall sätta upp en domU brandvägg som skyfflar trafik mellan mitt interna nät och resten av världen. Jag vill helst att dom0 inte ska ha behöva vara inblandad alls i trafiken så jag antar att jag måste exportera det externa nätverkskortet till denna domän som sedan distribuerar trafiken vidare. Är det några problem med detta förutom att denna domU troligtvis får tillgång till hela adressrymden (saknar IOMMU)?

Om du istället skapar bryggor i xen som du sedan ansluter till det olika interfacen och sedan virtuella NIC i varje domU för de endamål som du behöver (2st i fw delen etc)..

Citat:

Sen hade jag också tänkt att denna domU ska sköta en AP för ett trådlöst nätverk men det har jag ingen aning om det är möjligt. Jag ska alltså låta en maskin sköta allt och servera en laptop med nät och disk, eventuellt en framtida Mac Mini kopplad till en TV (via kabel direkt till servern). Det skulle betyda att jag inte behöver någon separat maskin för brandväggen, slopar switchen och spara ström. Laptopen kommer alltså att ansluta via AP:n och brandväggen, skickas vidare till dom0 för access till NFS servern.

kan inte påstå att jag hänger med exakt hur du hade tänkt dig detta, men det låter onödigt krångligt.

Citat:

Nu när jag ändå är igång, är det bökigt att tvinga anslutningar till AP:n att använda IPSec och certifikat för autentisering (man slår hål i brandväggen om man har ett giltigt cert) istället för att sätta upp authpf+ssh?

Någon som har meckat med sånt här när det blir lite mer avancerat och har lite tips förutom RTFM?

nej egentligen inte, det handlar mer om att köra NAT delen mot enc0 eller hur som nu OSet som du väljer presenterar IPSec trafiken..

ssh/authpf är ju som till för helt andra endamål egentligen, mer inloggning för extern access eller liknande även om det självklart funkar som en authgateway för nat med, dock är ju trafiken i nätet oskydad till skillnad mot IPSec.

Permalänk

Är inga problem att binda ett fysiskt nätverkskort till en domU maskin som agerar brandvägg. Kör en brandvägg på domU och har bundit två fysiska nätverkskort till den maskinen. Dessa kort är helt dolda för dom0.

http://lipogram.com/home_network.png

Har även kopplat ett virtuellt interface till denna brandvägg som agerar DMZ. Till det interfacet har jag bryggat en domU som agerar internetserver (http, DNS, mail o.s.v.).

Det fysiska interfacet eth1 på brandväggen går sedan till en fysisk switch/AP (som egentligen är en bredbandsrouter med routerfunktionen avslagen) som övriga maskiner sitter på (dom0, övriga domU, arbetsstation, laptop och ATA-boxen för IP-telefoni). Om du i stället vill knyta ett trådlöst kort till den domU som agerar brandvägg och skippa en extern AP så ser jag inga problem med det.

SAN-nätet skippade jag. Blev inte stabilt, och var ändå mest tänkt att kunna leka med. Kommer i stället koppla ATA-boxen till det interfacet sedan och koppla det till en domU som kör Asterisk.

Permalänk
Inaktiv

Re: Re: Ta Xen hela vägen

Citat:

Ursprungligen inskrivet av ntity
desktop delen är väll mer normalt att man kör som dom0, men smaken är som baken..

[...]

ssh/authpf är ju som till för helt andra endamål egentligen, mer inloggning för extern access eller liknande även om det självklart funkar som en authgateway för nat med, dock är ju trafiken i nätet oskydad till skillnad mot IPSec.

Kör bara X klienter på den, har servern på laptopen. Jag ränkar inte mitt trådlösa nät som en del av mitt hemmanätverk, därför ska det autentiseras...

Citat:

Ursprungligen inskrivet av Robban@Lipogram
http://lipogram.com/home_network.png

Nu börjar det likna något, coolt.