Hallo Harald und alle, On Mi, Dez 04, 2013 at 03:15:50 +0000, Harald Weidner wrote: >Christian Schoepplein <chris@schoeppi.net>: > >>ich habe einen Host mit dem neusten Ubuntu auf dem ich gern ein mit KVM >>virtualisiertes Ipfire betreiben würde. > >>- Der Host hat zwei Netzwerkkarten, eth0 ist eine PCI Karte, eth1 ein >>per USB angeschlossener Netzwerkadapter >>- eth0 soll als Karte für das interne Netzwerk dienen, also auf Host und >>Gast, eth1 soll lediglich im ipfire-Gast die Internetverbindung >>bereitstellen und am besten auf dem Host überhaupt nicht ansprechbar >>sein > > >>----- /etc/network/interfaces ----- > >>iface br0 inet static >>[...] >> broadcast 192.168.1.255 gateway 192.168.1.100 > >Das sollte in zwei getrennten Zeilen stehen. Sorry, ist schon so, war nur ein Fehler beim Übertragen in die Mail. >Ansonsten sieht die Konfiguration gut aus. Also ist der Ansatz zwei Bridges anzulegen und eine davon fürs interne bzw. die andere für die Internetverbindung zu verwenden prinzipiell richtig? >>- Wie kann ich auf dem Host eth1 bzw. br1 so einrichten oder >>einschränken, dass das echte Device (wie geschrieben ein >>USB-Netzwerk-Adapter) nur im virtuellen Ipfire verwendet werden kann? > >Das hast du bereits getan, indem br1 auf dem Host keine IP-Adresse hat. >Wenn es nicht noch eine IPv6 Adresse bekommen hat (prüfen mit ifconfig eth1), >dann kann kein Benutzer außer root irgend etwas damit machen. OK, dann ist auch das gut. IPV6 war noch aktiv, habe ich jetzt für den kompletten Host deaktiviert. >>Ich habe irgendwo gelesen, dass Hardware direkt an eine virtuelle >>Maschine durchgereicht werden kann und so auf dem Host nicht mehr >>verwendbar ist, stimmt das und geht das auch für USB-Geräte? > >Prinzipiell geht das. Siehe >http://www.linux-kvm.org/page/USB_Host_Device_Assigned_to_Guest >Dabei wird aber ein USB Device emuliert, der Gast benötigt entsprechende >Treiber und die Performance sinkt gegenüber einem Netzwerkdevice mit >virtio-net. > >Ein Sicherheitsgewinn ist es nicht. Denn wenn ein Angreifer root auf >dem Host geworden ist, kann er einfach die VM beenden und das Device >selber nutzen. Das stimmt. Also lasse ich es so. Wenn ich es richtig verstanden habe, sollte netzwerkmäßig auf dem Host also alles so sein, dass ich mit Ipfire in einer VM die Verbindung ins Internet betreiben kann. Da dies aber noch nicht geht, ich den Grund allerdings noch nicht kenne, werde ich da jetzt nochmal weiterschauen und die Ursache im ipfire-Guest suchen. Oder liegt irgendwo noch ein genereller Denkfehler bei dieser ganzen Netzwerkkonfiguration vor? Ciao und danke, Schöpp -- Christian Schoepplein - <chris (at) schoeppi.net> - http://schoeppi.net
Attachment:
signature.asc
Description: Digital signature