корпоративный FreeBSD прокси на virtualbox

[h337]

Тема такая... Поднимаю виртуальный шлюз, на котором ipfw_nat+sams+squid+mysqld+apache+mpd
Поднял гостевую FreeBSD 8.2 RELEASE i386 на virtualbox 4.0.8, хост-система FreeBSD 8.2 RELEASE amd64.

Соответственно имею две сетевые карты... Сетевая смотрит во внутреннюю сеть, на хост системе 192.168.1.1 на гостевой 192.168.1.20 работают через сетевой мост. Вторая сетевая будет смотреть во внешнюю сеть, и вопрос собственно в том как ее настроить имея один внешний айпи выделенный провайдером, чтобы можно было снаружи зайти как на хост систему так и на виртуальную. Сетевой режим между виртуальным и реальным внешним интерфейсом будет "сетевой мост" так как необходим GRE.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

Если у Вас есть хост система на БСД, зачем Вам еще и VBox с БСД?

можно было снаружи зайти как на хост систему так и на виртуальную.

Пробрасываете на гостевой системе к хост системе нужные Вам порты, если Вы будете поднимать линк на гостевой системе естественно.

[h337]

Если у Вас есть хост система на БСД, зачем Вам еще и VBox с БСД?

можно было снаружи зайти как на хост систему так и на виртуальную.

Пробрасываете на гостевой системе к хост системе нужные Вам порты, если Вы будете поднимать линк на гостевой системе естественно.

Я так понял внешний айпи мне нужно прописать на интерфейсе гостевой системы. А на внешнем интерфейсе хост системы можно ничего не прописывать? в этом я запутался... Если гостевая повиснет, к примеру из-за блокировки фаером, я доступ к хост системе не получу?

[LMik]

Если у Вас есть хост система на БСД, зачем Вам еще и VBox с БСД?

можно было снаружи зайти как на хост систему так и на виртуальную.

Пробрасываете на гостевой системе к хост системе нужные Вам порты, если Вы будете поднимать линк на гостевой системе естественно.

Я так понял внешний айпи мне нужно прописать на интерфейсе гостевой системы. А на внешнем интерфейсе хост системы можно ничего не прописывать? в этом я запутался... Если гостевая повиснет, к примеру из-за блокировки фаером, я доступ к хост системе не получу?

Нужно просто поставить систему без виртуалки и читать хэндбук.

[h337]

Если у Вас есть хост система на БСД, зачем Вам еще и VBox с БСД?

можно было снаружи зайти как на хост систему так и на виртуальную.

Пробрасываете на гостевой системе к хост системе нужные Вам порты, если Вы будете поднимать линк на гостевой системе естественно.

Я так понял внешний айпи мне нужно прописать на интерфейсе гостевой системы. А на внешнем интерфейсе хост системы можно ничего не прописывать? в этом я запутался... Если гостевая повиснет, к примеру из-за блокировки фаером, я доступ к хост системе не получу?

Нужно просто поставить систему без виртуалки и читать хэндбук.

если имеется ввиду хендбук про систему без виртуалки то с этим проблем нет... вопрос был задан про систему на виртуальной машине и в руководстве по virtualbox все поверхостно описано в разделе "сетевые настройки"

[Electronik]

во первых хватит оверквотить!!!

во вторых вы так и не объяснили зачем вам на машине с FreeBSD, еще и гостевая FreeBSD.

[h337]

во первых хватит оверквотить!!!

во вторых вы так и не объяснили зачем вам на машине с FreeBSD, еще и гостевая FreeBSD.

мне не принципиально хост система, важно чтобы гостевая была фря и это будет виртуальный прокси

[Electronik]

зачем Вам виртуальный прокси?

[h337]

зачем Вам виртуальный прокси?

Мне кажется это очень удобным решением по скорости установки в нескольких точках, ставится хост система виртуалбокс и готовая система. Также возможно сделать это удаленно, так как не всякий сможет поставить фрю, а винду я думаю шансов больше.

[Electronik]

как вы хотите сделать это удалённо если на прокси будет подниматься линк c интернетом?
даже если сделать так как Вы хотите, то лучше уже мучаться через Jail.

[h337]

как вы хотите сделать это удалённо если на прокси будет подниматься линк c интернетом?
даже если сделать так как Вы хотите, то лучше уже мучаться через Jail.

Имеем железо с двумя сетевыми, помощник ставит винду и прописывает внешний ip, я подключаюсь удаленно ставлю виртуалбокс устанавливаю гостевую фрю, на гостевой настраиваю внутренний интерфейс(192.168.1.20) привязываю в режиме сетевого моста с внутренним интерфейсом хост системы(192.168.1.1). Для настройки внешнего у меня пока нет четкого понимания, допустим пров выделил 89.249.230.34, он получается уже прописан на внешнем интерфейсе хост системы, на хост системе роутинга между физическими интерфейсами(192.168.1.1 89.249.230.34) нет, он будет на гостевой. Мне не понятно что прописывать на внешнем интерфейсе гостевой системы и в каком режиме, режим нат не подходит так как GRE не будет работать.

Если я к примеру возьму у прова два внешних адреса 89.249.230.34 89.249.230.44 и пропишу на внешнем интерфейсе гостевой 89.249.230.44 , а внешнем хост системы соответственно 89.249.230.34 в режиме сетевого моста, так у меня будет доступ сразу в гостевую по 89.249.230.44 ?

[snorlov]

В вашем случае лучше всего почитать хендбук и изготовить свой дистрибутив, который и использовать для размножения, в вашем случае, помощник должен уметь прописать внешний ip и другие параметры, как это сделать завист от вас, и все это только для того, чтобы вы по ssh могли подключиться извне...

[h337]

В вашем случае лучше всего почитать хендбук и изготовить свой дистрибутив, который и использовать для размножения, в вашем случае, помощник должен уметь прописать внешний ip и другие параметры, как это сделать завист от вас, и все это только для того, чтобы вы по ssh могли подключиться извне...

чесслово, не понимаю тех кто советует читать хенбук))) либо слишком нервные либо очень хотят помочь но не знают как

[snorlov]

Проблема не в том, что нервные, а в другом: как вы понимаете защиту самой винды в предлагаемом вами виде, ведь простого отключения роутинга внутри самой виды будет недостоточно для защиты ее внешнего интерфейса, хотя... у меня в памяти пробегает упоминание о статье кажется в BSD_Magazine, о защите XP через флешку, на которой стоит кажется OpenBSD c PF, всех деталей я не помню...
И еще есть проект http://mfsbsd.vx.sk/ посмотрите на него вполне возможно вам больше и не надо будет что-то изобретать...

[homoadminus]

1)выкинуть virtualbox(потому что производительность дисковой и сетевой будет грустной, а cpu usage - высоким. а еще у виртуалбокса проблемы с производительностью в случае smp-гостей)
2)использовать xen(потому что есть паравиртуальные драйвера для HVM режима или же вообще использовать i386+PAE).

[homoadminus]

о защите XP через флешку, на которой стоит кажется OpenBSD c PF, всех деталей я не помню...

linux там был с iptables.

openbsd не работает на железках без MMU.

[dekloper]

режим нат не подходит так как GRE не будет работать.

хирню какуюта нагородил
при чем тут гре, причем тут нат? гре - вобще режим тунелирования, цисковый по-моему..
технологии никак не связанные между собой..
но, главное, зачем виртуалить то, что можно не виртуалить??
причем, в максимально кривой реализации..
если задача "размножения" конфигурации, не обязательно виртуалить..
раз настроить, сдампить, и ресторить на скока угодно..
ну если хочется, клеток наклепать..

"день открытых дверей" короче

[h337]

режим нат не подходит так как GRE не будет работать.

цисковый по-моему..
"день открытых дверей" короче

Вы не стесняйтесь учите мат-часть

[h337]

Проблема не в том, что нервные, а в другом: как вы понимаете защиту самой винды в предлагаемом вами виде, ведь простого отключения роутинга внутри самой виды будет недостоточно для защиты ее внешнего интерфейса, хотя... у меня в памяти пробегает упоминание о статье кажется в BSD_Magazine, о защите XP через флешку, на которой стоит кажется OpenBSD c PF, всех деталей я не помню...
И еще есть проект http://mfsbsd.vx.sk/ посмотрите на него вполне возможно вам больше и не надо будет что-то изобретать...

А на внешнем интерфейсе хост системы не будет прописан никакой адрес, внешний ip прописывается на внешнем интерфейсе гостевой FreeBSD. Так что если хост система винда то она никак не доступна снаружи, но при желании можно прописать. Кстати проблему решил, и система работает как раз по такой схеме, с одним внешним айпи.

[Gendos]

Бац и Венда перегрузилась ?

[Electronik]

а винда в нет через прокси имеет доступ в нет? а флешки можно юзать?

[DarkAGeS]

h337
друг, то же самое делаю, те же вопросы по поводу того, что прописать на внешнем интерфейсе виндового хоста и гостевой фри.
пока сделал так - на винде вообще убрал протокол tcp-ip, оставил только virtualbox bridge, а на фре прописал параметры, выданные провайдером.
в итоге - на фре инет работает, все гуд, из локалки фря видна и ей видно тоже все. из локалки пингуется внещний ip прописанный на фре, из инета пингуется фря,
НО не работает НАТ. при этом видно через tcpdump что пинги идут с 192.168.1.1 на 8.8.8.8 но при этом правило ната не срабатывает - ip не подменяется и пакет не уходит в инет. Такое ощущение что не работает форвардинг, т.е. пакет до внешнего интерфейса не доходит и поэтому правило ната не срабатывает, ибо
${fwcmd} add nat 1 all from 192.168.1.1 to any out via ${ext_if}
ядро не пересобирал, установлена фря 9-rc2, в rc.conf следующее (внешний ip изменен):
defaultrouter="1.2.3.1"
ifconfig_em0="inet 192.168.1.25 netmask 255.255.255.0 -rxcsum -txcsum"
ifconfig_em1="inet 1.2.3.4 netmask 255.255.255.248 -rxcsum -txcsum"
gateway_enable="YES"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_script="/etc/rc.fw"

в /etc/rc.fw (то что касается ната)
${fwcmd} nat 1 config log if ${ext_if}
${fwcmd} add nat 1 all from 192.168.1.1 to any out via ${ext_if}
${fwcmd} add nat 1 all from any to ${ext_ip} in via ${ext_if}

при этом по статистике (ipfw show) последнее правило срабатывает (пакеты из инета на фрю), а у первого 0 сработок

куда копать?..

[DarkAGeS]

установил centos 6.0 с теми же настройками - все взлетело. причем пока не сделал:
echo "1" > /proc/sys/net/ipv4/ip_forward
все было в точности как на фре. Так что именно подозрения на форвардинг во фре. Попробую установить 8.2 и перекомпилировать ядро под файрволл...

[snorlov]

У меня судя по всему похожая фигня была, на w2k3 поднял virtualbox и внутри его захотел поиметь внутреннюю сетку, так, чтобы фряха в виртулке имитировала роутер, так вот вроде все работало за исключением dns...