[VM] Vraag rond Bridged networking

Geachte allemaal,

Als PHP-developer doe ik mijn tests op een virtuële machine met CentOS (6.5) die met mijn host-PC is verbonden via een Host-Only netwerk.

Ik wil mij echter meer gaan toespitsen op responsive design waardoor de Host-Only adapter niet meer volstaat doordat ik steeds vaker op mijn smartphone zal moeten gaan testen.

Een oplossing hiervoor zou simpelweg een Bridged netwerk zijn in plaats van een host-only. Maar eigenlijk ben ik redelijk bang dat er door slechte configuratie zal worden ingebroken in de VM en dat werk van jaren op straat zal belanden.

Natuurlijk weet ik ook wel dat een goede firewall al voldoende bescherming biedt, maar eigenlijk weet ik niets over de configuratie van het thuisnetwerk. Normaal is alles van apparatuur ingesteld op default-waarden (buiten de Wireless router die GoogleDNS gebruikt ipv dit aan Telenet te vragen).

Is het mogelijk om mij te vertellen of met deze hardware (met default-config) veilig is om over te stappen op Bridged of dat ik het beter bij Host-Only laat.

Ik heb voor alle zekerheid even de typenummers gezet zoals ik ze vond op de apparatuur zelf.

- Provider: Telenet (Basic Internet)

- Modem: Motorola SB5100

- Bridge: D-Link DES-1005D

- Wireless: Belkin Surf N300

Als toemaatje heb ik hieronder even de configuratie van IPtables gezet.

[vagrant@jeroened ~]$ sudo cat /etc/sysconfig/iptables
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
# SSH
-A INPUT -p tcp -m tcp -m state --dport 22 --state NEW -j ACCEPT
# BIND
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
# BIND
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
# Gopher
-A INPUT -p tcp -m tcp --dport 70 -j ACCEPT
# Apache
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Apache + SSL
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# MySQL
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
# XDebug
-A INPUT -p tcp -m tcp --dport 9000 -j ACCEPT
# Webmin
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Een bridged netwerk zal alle VM's lid maken van jouw thuis netwerk. Ze krijgen dan ook een IP-adres van de router. Dit betekend dat als iemand in jouw netwerk heeft ingebroken, ze direct toegang hebben tot alle poorten van jouw Cent-OS machine (als deze aan staat).

Ik denk niet dat er zomaar ingebroken wordt, aangezien je waarschijnlijk niet zulke belangrijke informatie op je netwerk hebt staan waar mensen geld mee kunnen verdienen of kwaad mee willen. De kans dat er ingebroken wordt is dus klein.

Maar wil je jezelf toch indekken, kun je in plaats van een bridged netwerk, een NAT netwerk aanhouden. Je opent in jouw virtualisatie software de 'netwerk manager' en daarin kun je port-forwarding instellen.

Wil je alleen HTTP toegang, dan open je alleen poort 80 (TCP). Wil je ook je bestanden kunnen bewerken via Samba, dan open je ook de poorten voor Samba 139 (TCP en UDP) en 445 (TCP). Gebruik je gewoon FTP om je bestanden op je Cent-OS te plaatsen dan open je daar poort 21 (TCP) voor.

Dan zijn alle poorten die je niet forward gewoon gesloten. Je maakt dan geen verbinding met het ip-adres van de Cent-OS server, maar met het IP-adres van jouw host machine (jouw pc). De pc geeft namelijk de virtuele machine een ip-adres.

Hallo,

Ondertussen ook even heen en weer gemaild met een aantal maten en zij zeiden mij in mijn IPtables een regel toe te voegen die alle verkeer buiten 192.168 weigert.

Ik weet niet of dit een goed idee zou zijn? Als de router of andere pc als proxy word gebruikt zijn ze ook binnen.

Ik heb overigens nog eens gekeken naar mijn configuratie en in principe zijn ze ook al veel met inbraak op mijn host-pc. Ik zit met een aantal shared folders en er word op regelmatige tijdstippen een backup van de databases en andere config (BIND; Vhosts; ...) gemaakt naar /vagrant waardoor dit ook weer op mijn eigen pc terechtkomt.

Dus met andere woorden: Het is misschien een probleem tussen het toetsenbord en de leuning van de stoel.

Met vriendelijke groet

Jeroen

Ik weet niet of dat een optie zou kunnen zijn, waar wilde je die regel dan instellen? Als je dat namelijk instelt in je router, dan zou je helemaal geen toegang meer hebben tot je netwerk devices denk ik.

Nu ik het nog eens zo lees en je IPtables heb bekeken, heb ik misschien nog een oplossing.

Ik zie namelijk dat je je database, DNS, WEB, Webmin, SSH en nog wat andere poorten hebt toegewezen.

Je wilt de websites kunnen testen op andere devices vanuit je eigen netwerk. Wat betekend dat je alleen toegang nodig hebt tot poort 80 (via NAT of Bridged modus).

Mijn oplossing zou dan kunnen zijn, hang twee virtuele netwerkkaarten aan je virtuele machine. Eén "Management LAN" netwerkkaart (Host only) en één "Public LAN" netwerkkaart in Bridge of NAT modus. Als je dan een firewall installeert en deze configureert kun je alleen de poort 80 openbaar maken op een bepaald netwerk.

Je moet dan wel rekening houden dat met deze oplossing je alleen je bestanden kunt bewerken (uploaden) via je eigen pc (Host Only).

Hallo,

Probleem opgelost!

Een Management-NIC is misschien wel het beste idee. Heb mijn iptables hiernaar aangepast. En voor de lokale PC heb ik mijn hosts-file aangepast zodat de eth2-interface word gebruikt als ik op de lokale PC bezig ben.

Ondertussen heb ik ook deze link gevonden waarin telenet zegt binnenkomende poorten te blokkeert.

http://klantenservice.telenet.be/content/welke-internetpoorten-blokkeert-telenet