Proxmox VE, часть 2, настройка сети и iptables
Invite pending
В первой части я описал установку системы виртуализации Proxmox VE на сервер в Hetzner. Далее привожу пример конфигурации сети и настройки безопасности.
В наличии имеется:
1. Арендованный в Hetzner сервер
2. Установленная ОС Debian 7.6 minimal
3. Установленная система Proxmox VE
4. 29 подсеть (можно заказать 28ю подсеть, или до трех дополнительных IP адресов)
Первым делом отредактируем сетевые настройки на нашем сервере:
Приведя их к следующему виду:
# Loopback device:
auto lo
iface lo inet loopback
# device: eth0
auto eth0
iface eth0 inet manual
auto vmbr0
iface vmbr0 inet static
address XXX.YY.ZZ.QQ
broadcast XXX.YY.ZZ.QQ
netmask 255.255.255.XXX
gateway XXX.YY.ZZ.QQ
bridge_ports eth0
bridge_stp off
bridge_fd 0
Сохраняем, ребутим сеть:
Далее, обезопасим наш сервер от лишних беспокойств:
1. Создаем файл в который пропишем наши настройки iptables, файл назовем «iptables», чтоб было понятно и поместим его в автозагрузку:
Структура скрипта следующая:
#!/bin/bash
#Сбрасываем iptables
/sbin/iptables -F
/sbin/iptables -P INPUT DROP # блокируем входящие
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
#Разрешает трафик локальной петли
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
#Даем необходимые разрешения
#Разрешаею почтовик для отправки оповещений
/sbin/iptables -A INPUT -s XXX.YYY.XXX.QQQ -j ACCEPT
#Разрешаю доступ к ноде по SSH
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 22 -j ACCEPT
#Proxmox веб интерфейс
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 8006 -j ACCEPT
#VNC
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 5900 -j ACCEPT
#NFS тут разрешается шара для служебных целей
/sbin/iptables -A INPUT -s XXX.YY.ZZ.QQQ -j ACCEPT
#Разрешаю хетзнеровские DNS
# DNS1
/sbin/iptables -A INPUT -s 213.133.99.99 -j ACCEPT
# DNS2
/sbin/iptables -A INPUT -s 213.133.100.100 -j ACCEPT
# DNS3
/sbin/iptables -A INPUT -s 213.133.98.98 -j ACCEPT
Делаем наш файл исполняемым:
Следующий этап, прикручиваем нашу подсеть:
1. Открываем конфиг:
2. Добавляем интерфейс:
auto vmbr1
iface vmbr1 inet static
address XXX.YYY.ZZZ.QQQ # Первый адрес из 5ти доступных для использования, он же является шлюзом для гостевых машин
netmask 255.255.255.XXX
bridge_ports none
bridge_stp off
bridge_fd 0
Сохраняем и ребутимся. Теперь сервер готов для размещения гостевых машин.
В наличии имеется:
1. Арендованный в Hetzner сервер
2. Установленная ОС Debian 7.6 minimal
3. Установленная система Proxmox VE
4. 29 подсеть (можно заказать 28ю подсеть, или до трех дополнительных IP адресов)
Первым делом отредактируем сетевые настройки на нашем сервере:
nano /etc/network/intefacesПриведя их к следующему виду:
# Loopback device:
auto lo
iface lo inet loopback
# device: eth0
auto eth0
iface eth0 inet manual
auto vmbr0
iface vmbr0 inet static
address XXX.YY.ZZ.QQ
broadcast XXX.YY.ZZ.QQ
netmask 255.255.255.XXX
gateway XXX.YY.ZZ.QQ
bridge_ports eth0
bridge_stp off
bridge_fd 0
Сохраняем, ребутим сеть:
/etc/init.d/networking restartДалее, обезопасим наш сервер от лишних беспокойств:
1. Создаем файл в который пропишем наши настройки iptables, файл назовем «iptables», чтоб было понятно и поместим его в автозагрузку:
nano /etc/network/if-up.d/iptablesСтруктура скрипта следующая:
#!/bin/bash
#Сбрасываем iptables
/sbin/iptables -F
/sbin/iptables -P INPUT DROP # блокируем входящие
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
#Разрешает трафик локальной петли
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
#Даем необходимые разрешения
#Разрешаею почтовик для отправки оповещений
/sbin/iptables -A INPUT -s XXX.YYY.XXX.QQQ -j ACCEPT
#Разрешаю доступ к ноде по SSH
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 22 -j ACCEPT
#Proxmox веб интерфейс
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 8006 -j ACCEPT
#VNC
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 5900 -j ACCEPT
#NFS тут разрешается шара для служебных целей
/sbin/iptables -A INPUT -s XXX.YY.ZZ.QQQ -j ACCEPT
#Разрешаю хетзнеровские DNS
# DNS1
/sbin/iptables -A INPUT -s 213.133.99.99 -j ACCEPT
# DNS2
/sbin/iptables -A INPUT -s 213.133.100.100 -j ACCEPT
# DNS3
/sbin/iptables -A INPUT -s 213.133.98.98 -j ACCEPT
Делаем наш файл исполняемым:
chmod +x /etc/network/if-pre-up.d/iptablesСледующий этап, прикручиваем нашу подсеть:
1. Открываем конфиг:
nano /etc/network/interfaces2. Добавляем интерфейс:
auto vmbr1
iface vmbr1 inet static
address XXX.YYY.ZZZ.QQQ # Первый адрес из 5ти доступных для использования, он же является шлюзом для гостевых машин
netmask 255.255.255.XXX
bridge_ports none
bridge_stp off
bridge_fd 0
Сохраняем и ребутимся. Теперь сервер готов для размещения гостевых машин.