OVH Community, your new community space.

Ipotesi di Configurazione : E' possibile ?


Jackal
20.08.2009, 10.47
Grazie ragazzi .. cerchero' di capire quale sia la situazione piu consona al mio utilizzo .. nel frattempo sto cercando di fare tutte le valutazione del caso grazie ai vostri suggerimenti.

ciao e a presto

J

Ego-Ale-Sum
26.07.2009, 23.59
anche io sono scettico.
in effetti, ha senso avere una macchina che faccia da firewall/router, ma che questa sia una macchina virtuale sullo stesso server delle altre forse un po' meno...

se hai bisogno di un server firewall, infatti, significa che hai esigenze di sicurezza e/o scalabilità non da poco.
escludendo subito il caso "scalabilità", visto che stai pensando di usare comunque 1 solo server (oltretutto virtuale), sulla sicurezza mi sentirei di dire questo.
una macchina virtuale non è completamente sicura. se uno buca il server host, ha il controllo su tutto quanto. quindi, i server "a rischio" sono 2, e non più uno.
c'è poi tutto il discorso sulle performance che ti hanno già fatto, che nel caso degli RPS non è irrilevante, visto che il disco è di rete.

eventualmente... se vuoi un unico server (o al massimo un server + 1 firewall/proxy) potresti valuare anche di usare FreeBSD con le jails... il risultato è molto simile ad un sistema virtualizzato.

bago
25.07.2009, 17.44
Assicurati di fare tuning di vmware perchè i file della memoria delle macchien virtuali vengano messe in shared memory, altrimenti col fatto che vmware scrive su disco la memoria delle macchine virtuali e che l'RPS ha l'accesso al disco molto lento avresti un risultato inutilizzabile.

Jackal
25.07.2009, 14.42
Si forse nel mio disegno ho trascurato il fatto che la macchina principale con vmware assorbe notevoi prestazioni .. ed anche spazio su disco .. comunque il tuo ragionamento fila liscio !!

faccio qualche valutazione per capire cosa mi convenga di piu specialmente in virtu delle prestazioni e di quello che voglio ottenere.

Grazie Sonic, a presto

J

Sonic
25.07.2009, 14.31
Bhe' l'utilizzo di uno strato in piu' (quello di virtualizzazione appunto) genera il suo overhead che non e' del tutto trascurabile (non essendo una macchina dalle prestazioni elevatissime, considerando anche l'accesso MOLTO lento al disco).

Se poi sei in situazioni critiche per quanto riguarda la sicurezza tanto da voler creare ambienti completamente separati nessuno ti vieta di farlo ovviamente (e altrettanto ovviamente di funzionare la cosa funziona). Il mio voleva solo essere un suggerimento per cercare un miglior compromesso sicurezza/prestazioni/uso di risorse

Jackal
25.07.2009, 13.41
No infatti non realizzavo la cosa di poter usare la macchina principale per fare il firewall .. mi sembra un ottima idea invece di creare una macchina apposita !!
Si, so che posso fare la gabbia chroot, ma per molte ragioni preferisco dividere gli ambienti come se fossero delle macchine fisicamente separate! ma non capisco al 100% la vostra titubanza .. pensata che ci sia un cosnumo esagerato delle risorse ? oppure tempo sprecato ?

la virtualizazzione permette proprio questo .. perche' non utilizzarla ?

J

Sonic
25.07.2009, 13.35
Come han gia' detto gli altri anche io trovo totalmente inutile la creazione di una VM per fare da firewall.

Poi sei sicuro che valga la pena fare una cosa del genere?

Apache, postfix, etc. puoi farli girare in un chroot e hai preservato la macchina da gran parte dei possibili exploit.

bago
24.07.2009, 23.37
Dimenticavo.. io per fare la tua configurazione, se proprio volessi tenere 3 macchine separate prenderei 3 RPS1. Almeno ho il triplo di banda verso i dischi. Mettere una macchina firewall quando ti serve aprire una sola porta non serve a niente secondo me. Tieni aggiornato iptables, apri solo la porta che ti serve, e io non ho mai sentito di nessun server bucato grazie a iptables.

bago
24.07.2009, 23.34
Secondo me non hai fatto i conti con il fatto che vmware mappa su disco le memorie dei guest e che il disco degli RPS è remoto ed hai pochi MB/s di throughput disco.

Comunque se vuoi provare prova. Secondo me ti viene molto più semplice se fai fare da firewall alla macchina fisica e quindi metti "solo" 3 macchine virtuali. Tanto per questioni tecniche tutti i pacchetti devono essere già routati dalla macchina fisica, quindi mi sembra perfettamente inutile passare il tutto ad una macchina virtuale. Anche considerando che comunque la macchina fisica la dovresti proteggere con un firewall visto che non puoi proteggere la fisica con una virtuale.

Se ti può aiutare ho scritto un po' di post su VMware sugli RPS:

Installare VMWare Server 2.0.1 su un RPS di OVH

Configurare la rete per VMware server e gli IP Failover in un dedicato OVH

Jackal
24.07.2009, 22.35
ma guarda .. io ho installato un server a casa con delle macchine virtuali da 256 mb di ram e vanno benissimo .. specialmente nel caso in cui il server debba fare solo monitorin o backup una volta al giorno .. separare gli ambienti mi serve per poter gestire meglio le cose ed isolare le macchine .. piuttosto che mettere tutto su una macchina .. io vorrei mettere un firewall davanti a tutto come se fosse una vera rete aziendale e dietro mettere le altre macchine (web,mail e backup) .. non mi sembra una cattiva idea ? che dici ?

avevo pensato :

server firewall : 128 mb
web server : 512 mb
mail server : 512
backup / monitor : 256

vorrei che le macchine che danno servizio non possano essere viste dall'esterno .. e' come se fosse una DMZ con indirizzi privati tipo 192.168.1.10,192.168.1.20 etc etc .. ti sembra non possa funzionare o comunque inutile ?

grazie per aver risposto

Ciao

J

bago
24.07.2009, 22.18
Secondo me tutto questo non ha alcun senso. Se le gestisci tu una RPS3 non è potentissima e soprattutto ha poco disco.. fai tutto nel sistema principale.

COmunque in ogni caso non so se le ultime configurazioni di OVH hanno cambiato qualcosa ma fino ad ora il bridging vmware non funzionava per via di politiche restrittive sugli switch OVH e quindi si poteva solo usare hostonly. IN questa confiugrazione tutti i pacchetti vengono routati dalla macchina fisica. Se vuoi fare firewalling lo fai lì. Non credo sia possibile ed abbia senso far passare i pacchetti per le altre macchine (probabilmente con alcuni NAT puoi anche farlo).

Se non vuoi che si possa vedere vmware da fuori assicurati di bloccare le porte che apre. Basta che usi iptables bloccando tutto tranne quello che vuoi far passare.

Jackal
24.07.2009, 20.48
Salve a tutti,

ho appena acquistato un server RPSIII con lo scopo di configurarci 4 macchine virtuali con vmware (mi sembra che ancora non sia possibile utilizzare la versione ESXi , cosi ho optato per una debian lenny 64).

Sono un utente linux con buone conoscenze di amminstrazione , che approccia da poco al mondo del "routing / networking".

La mia intenzione era quella di configurare il server nel seguente modo, e mi chiedevo se secondo voi fosse tecnicamente possibile :

Server 1 : firewall / router (visibile alla rete internet )
Server 2 : Web server Apache2 (non visibile direttamente alla rete internet , ma che riceve / offre chiamate tramite il server 1 -> ip forwarding ? )
Server 3 : Mail Server Postfix (Stesso discorso del web server)
Server 4 : Backup server (bacula) e monitoring (nagios, ,rtg)dei 2 server (Web e Mail)

Voi pensate che sia possibile creare e configurare queste 4 macchine virtuali permettendo solo alla prima di essere visibile all'esterno , che andrè poi a redirizionare il traffico sulle altre ?

Per il firewall / router avevo pensato ad una distribuzione leggera come pyramid linux o ipcop .. dite che con ip tables riesco a fare tutto ?

ovviamente con OVH avro a disposizione un IP pubblico, quindi dovro reindirizzare il traffico sul server corrispondente analizzando il pacchetto (almeno penso viste le mie scarse conoscenze di netowrking)

Mi chiedevo inoltre se vmware sia "blindato" dal punto di vista della sicurezza informatica .. non vorrei che in qualche modo dall esterno si riesco ad accedere direttamente alle macchine della rete virtuale.

Grazie per qualsiasi risposta, consiglio o guida che vorrete fornire !!

Buona giornata

J