# Frage zu VMWare, virtueller Maschine als Firewall, IPTABLES

## barthi

Hallo!

Ich habe hier einen XP Rechner, auf dem VMWare Workstation läuft. 

In einer virtuellen Maschine habe ich Gentoo installiert. Es soll in erster Linie als Firewall dienen, da mein Router (US Robotics) leider nicht viel taugt, wenn's um PortForwarding oder virtuelle Server geht.

Ich würde deshalb gerne das virtuelle Linux-System als DMZ-Host im Router eintragen (dadurch werden alle ports auf die angegebene IP weitergereicht).

Der XP-Host hat die IP 192.168.1.100. Das virtuelle Linux hat die 192.168.1.200.

Jetzt weiß ich nicht so genau, wie ich das Netzwerk und IPTables konfigurieren soll. Das Linux-System muss ich bei den Clients als Default-Gateway angeben, richtig? Momentan hab ich noch meinen Router als DefaultGateway.

Außerdem weiß ich nicht, ob eine Netzwerkkarte im Linux-System reicht, um den ganzen Traffic zu routen. Oder muss ich eine Unterscheidung zwischen externem und internem Verkehr machen?

Könnt Ihr mir bitte ein paar Tipps geben? Wär echt super!

Danke,

barthi

----------

## papahuhn

Wenn ich mich nicht irre, ist bridged networking das beste für dein Vorhaben. Da konfigurierst du die Gentoo-Box genau so, als ob sie ein echter Rechner im LAN wäre, und stellst sie als default-gateway auf dem XP-Host ein.

----------

## barthi

Ok, ich hab bridged eingestellt und auf dem client das virtuelle System als default gateway eingetragen.

Aber wie genau müssen die Regeln denn jetzt aussehen. Ich kenne das ganze nur für den Fall, dass ich zwei Interfaces habe. Eins das mit der außenwelt verbunden ist und eins das mit dem lokalen Netz verbunden ist (hatte mein DSL damals so eingerichtet).

Aber ich versteh grad nicht, wie das alles über eine Netzwerkkarte abgewickelt werden soll.

Habt ihr vielleicht dafür noch ein Beispiel?

Danke,

barthi

----------

## papahuhn

Falls der Adapter in der VMWare eth0 heißt, konfigurierst du eth0 als externen Adapter, und eth0:1 als internen.

----------

## barthi

Was ist denn eth0:1? das hab ich ja noch nie gesehen.

Muss ich das als Interface einrichten und ne eigene IP vergeben?

----------

## papahuhn

Ja, einem physikalischen Interface kann man mehrere IP-Adressen/Bereiche verpassen. Die heißen dann z.B. eth0:1, eth0:2, ...

----------

## Anarcho

Ohne es jetzt probiert zu haben solltes es so gehen:

In der VM eth0 auf 192.168.1.200, den Router (wahrscheinlich 192.168.1.1) als Default-Gateway (also ganz normale Internetkonfiguration).

WICHTIG: Dann ip forwarding anschalten! (siehe /etc/sysctl.conf, Eintrag "net.ipv4.ip_forward = 1")

Auf der XP Maschine 192.168.1.200 als Default Gateway eintragen.

Firewallregeln solltest du erstmal nicht brauchen.

2 Interfaces macht nur dann sinn wenn du verschiedene Subnetze einsetzen möchtest. Dann würde ich aber nicht IP-Aliase verwendenen (eth0:1, usw.) sondern einfach 2 bridged interfaces in der VM Config einstellen.

----------

## barthi

Aha, ok!

So hab ich mir das eigentlich auch gedacht.

Aber was meinst du denn mit 'Firewallregeln solltest du erstmal nicht brauchen'? Genau dafür will ich doch mein virtuelles Linux nutzen.

----------

## Anarcho

 *barthi wrote:*   

> Aha, ok!
> 
> So hab ich mir das eigentlich auch gedacht.
> 
> Aber was meinst du denn mit 'Firewallregeln solltest du erstmal nicht brauchen'? Genau dafür will ich doch mein virtuelles Linux nutzen.

 

Damit meinte ich das für den Betrieb als solcher keine Regeln nötig sind, wie es etwa bei einem Linux DSL Router nötig wäre (NAT/Masquerading).

Ausserdem dürften über den DSL-NAT-Router sowieso keine Pakete an deine Kiste von aussen kommen. Aber wenn die Internetverbindung steht kannst du immer noch dein Regelset aufbauen.

----------

