Am 04.12.2013 19:35, schrieb Christian Schoepplein: > Hallo Harald und alle, > > On Mi, Dez 04, 2013 at 03:15:50 +0000, Harald Weidner wrote: >> Christian Schoepplein <chris@schoeppi.net>: >> >>> ich habe einen Host mit dem neusten Ubuntu auf dem ich gern ein mit KVM >>> virtualisiertes Ipfire betreiben würde. >> >>> - Der Host hat zwei Netzwerkkarten, eth0 ist eine PCI Karte, eth1 ein >>> per USB angeschlossener Netzwerkadapter >>> - eth0 soll als Karte für das interne Netzwerk dienen, also auf Host und >>> Gast, eth1 soll lediglich im ipfire-Gast die Internetverbindung >>> bereitstellen und am besten auf dem Host überhaupt nicht ansprechbar >>> sein >> >> >>> ----- /etc/network/interfaces ----- >> >>> iface br0 inet static >>> [...] >>> broadcast 192.168.1.255 gateway 192.168.1.100 >> >> Das sollte in zwei getrennten Zeilen stehen. > > Sorry, ist schon so, war nur ein Fehler beim Übertragen in die Mail. > >> Ansonsten sieht die Konfiguration gut aus. > > Also ist der Ansatz zwei Bridges anzulegen und eine davon fürs interne > bzw. die andere für die Internetverbindung zu verwenden prinzipiell > richtig? > >>> - Wie kann ich auf dem Host eth1 bzw. br1 so einrichten oder >>> einschränken, dass das echte Device (wie geschrieben ein >>> USB-Netzwerk-Adapter) nur im virtuellen Ipfire verwendet werden kann? >> >> Das hast du bereits getan, indem br1 auf dem Host keine IP-Adresse hat. >> Wenn es nicht noch eine IPv6 Adresse bekommen hat (prüfen mit ifconfig eth1), >> dann kann kein Benutzer außer root irgend etwas damit machen. > > OK, dann ist auch das gut. IPV6 war noch aktiv, habe ich jetzt für den > kompletten Host deaktiviert. > >>> Ich habe irgendwo gelesen, dass Hardware direkt an eine virtuelle >>> Maschine durchgereicht werden kann und so auf dem Host nicht mehr >>> verwendbar ist, stimmt das und geht das auch für USB-Geräte? >> >> Prinzipiell geht das. Siehe >> http://www.linux-kvm.org/page/USB_Host_Device_Assigned_to_Guest >> Dabei wird aber ein USB Device emuliert, der Gast benötigt entsprechende >> Treiber und die Performance sinkt gegenüber einem Netzwerkdevice mit >> virtio-net. >> >> Ein Sicherheitsgewinn ist es nicht. Denn wenn ein Angreifer root auf >> dem Host geworden ist, kann er einfach die VM beenden und das Device >> selber nutzen. > > Das stimmt. Also lasse ich es so. > > Wenn ich es richtig verstanden habe, sollte netzwerkmäßig auf dem Host > also alles so sein, dass ich mit Ipfire in einer VM die Verbindung ins > Internet betreiben kann. Da dies aber noch nicht geht, ich den Grund > allerdings noch nicht kenne, werde ich da jetzt nochmal weiterschauen > und die Ursache im ipfire-Guest suchen. > uß > Oder liegt irgendwo noch ein genereller Denkfehler bei dieser ganzen > Netzwerkkonfiguration vor? > > Ciao und danke, > > Schöpp > Frage zum Thema: Ist die Unterstuetzung von Ipfire für Xen nicht ausgebauter als für KVM? Gruß
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature