Proxmox virtuelle Netzwerke anlegen mit der UFW Firewall und einer Netzwerkkarte

In einem bestehenden Netzwerk 192.168.50.0/24 soll ein weiteres Netzwerk eingebunden werden.
Dieses wird zu Testzwecken benötigt.

Netzwerk         192.168.50.0/24
Testnetzwerk 192.168.178.0/24

Zusätzlich werden Portweiterleitungen eingerichtet um auf die Server im Testnetzwerk zugreifen zu können.
Wie Beispielsweise mit Remotedesktop Client.

Um die Weiterleitungen einzurichten nehem ich in diesem Beipiel die UFW Firewall.

UFW / steht für uncomplicated firewall

apt-get install ufw

ufw enable && ufw default deny && ufw logging on

ufw allow from 192.168.50.230 to any port 22 proto tcp „Zugriff nur von meinem Rechner auf den Server“
ufw allow from 192.168.50.230  to any port 8006 proto tcp „Zugriff nur von meinem Rechner für das Webgui von Proxmox“

In der /etc/network/interfaces folgende Einträge hinzufügen

auto vmbr1
iface vmbr1 inet static
address  192.168.178.254 „die IP-Adresse, die später als Gateway im Testnetzwerk auf dem Hauptserver eingetragen wird“
netmask  255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0


REBOOT!

Routing aktivieren „UFW Firewall“

vi /etc/default/ufw and make sure DEFAULT_FORWARD_POLICY is set to ACCEPT.

DEFAULT_FORWARD_POLICY=„ACCEPT“


IP forwarding aktivieren

sysctl -w net.ipv4.ip_forward=1
sysctl -p /etc/sysctl.conf
service networking restart

cat /proc/sys/net/ipv4/ip_forward
1

Netzwerk hinzufügen „UFW Firewall“

vi /etc/ufw/before.rules

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#
ACHTUNG DIE Regeln müssen direkt unter „rules.beforé“

*nat
:PREROUTING ACCEPT [0:0]
#:POSTROUTING ACCEPT [0:0]

# FORWARD für das Netzwerk Internface eth0 = vmbr0
-A POSTROUTING -s 192.168.178.0/24 -o vmbr0 -j MASQUERADE

COMMIT


Überprüfen

root@pve:~# iptables -nvL -t nat
Chain INPUT (policy ACCEPT 9 packets, 468 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 14 packets, 920 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 14 packets, 920 bytes)
pkts bytes target     prot opt in     out     source               destination
0     0 MASQUERADE  all  —  *      vmbr0   192.168.178.0/24     0.0.0.0/0
0     0 MASQUERADE  all  —  *      vmbr0   192.168.178.0/24     0.0.0.0/0

Hier sind doppelte EInträge vorhanden!

0     0 MASQUERADE  all  —  *      vmbr0   192.168.178.0/24     0.0.0.0/0
0     0 MASQUERADE  all  —  *      vmbr0   192.168.178.0/24     0.0.0.0/0

Lösung!

in der Datei /etc/default/ufw

# By default, ufw only touches its own chains. Set this to ‚yes‘ to have ufw
# manage the built-in chains too. Warning: setting this to ‚yes‘ will break
# non-ufw managed firewall rules
#MANAGE_BUILTINS=no
MANAGE_BUILTINS=yes

ufw disable && ufw enable

root@pve:~# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 3 packets, 178 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all — * vmbr0 192.168.178.0/24 0.0.0.0/0

 


#Weiterleitung auf einen Windows Server per Remotedesktop

-A PREROUTING -i vmbr0 -p tcp –dport 3389 -j DNAT –to-destination 192.168.178.1

Überprüfen

iptables -t nat -x -n -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  —  0.0.0.0/0            0.0.0.0/0            tcp dpt:3389 to:192.168.178.1

 

Wenn man nun im Remotedesktop Client die 192.168.50.xx vom Proxmox Server angibt, wird man auf dem Windows Server mit der IP-Adresse 192.168.178.1 im Testnetzwerk geleitet.

Nach dem Anmelden am Windows Server kann man ein
hostname
ads
nslookup ads
Server:  ads.lan
Address:  192.168.178.1

Name:    ads.lan
Address:  192.168.178.1

tracert www.google.de

Routenverfolgung zu www.google.de [74.125.133.94]
ber maximal 30 Hops:

1    <1 ms    <1 ms    <1 ms  192.168.178.254 = vmbr1 „Virtuelle Brücke“
2    <1 ms    <1 ms    <1 ms  192.168.50.253= Router vom Netzwerk
3     1 ms    <1 ms     4 ms  internet

Promox-virtuelle Netzwerke mit einer Netzwerkkarte

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *