Host only:
vmnet 1 -> 172.16.102.0/24
vmnet 5 -> 192.168.134.0/24
vmnet 6 -> 178.16.142.0/24
vmnet 7 -> 192.168.169.0/24
alla macchina nella vmnet 5 possiamo dare 192.168.134.2 Se non dobbiamo uscire dalla dmz con queste VM possiamo anche non mettere nell’impostazione del tcp/ip default gateway e dns, così rimarrano escluse dal resto della rete e del mondo (una sicurezza in più) Andiamo a configurare un sito www.primo.it nella rete vmnet 1 ed un sito www.secondo.it nella vmnet 5 e configuriamoli con tutto il necessario, poi, nella macchina HOST aggiungiamo e/o modifichiamo il file squid.conf con questi valori:
#Configuro Squid in modo che ascolti sulla porta 80 della macchina host di vmware
http_port IP-MACCHINA-HOST-SU-INTERNET:80 #Disabilito le query ICP da e verso altri proxy
icp_port 0 #I log creati potranno poi essere utilizzati per statistiche di accesso
emulate_httpd_log on #Consento le connessioni dall’esterno
http_access allow all #L’indirizzo del vero web server (ATTENZIONE: l’url non l’indirizzo ip)
httpd_accel_host www.primo.it #L’indirizzo del vero web server (ATTENZIONE: l’url non l’indirizzo ip)
httpd_accel_host www.secondo.it #La porta su cui ascolta il vero web server
httpd_accel_port 80 #Ottimizzo per proteggere più server web
httpd_accel_single_host off #Da settare ON se si vogliono anche le funzioni di caching
httpd_accel_with_proxy off #In caso in cui il server web utilizzi i VirtualHost
httpd_accel_uses_host_header on
echo 0 > /proc/sys/net/ipv4/ip_forward
e blocchiamo il forward con netfilteriptables -P FORWARD DROP
Adesso andiamo a dire alla macchina HOST dove stanno i siti virtuali, se sono molti possiamo anche montare un server dns direttamente sulla macchina HOST, altrimenti mettiamo nel file /etc/hosts della macchina HOST la corrispondenza tra url ed ip delle macchine virtuali: 172.16.102.2 www.primo.it192.168.134.2 www.secondo.it A questo punto abbiamo ottenuto che: – i server sulle VM non si vedono tra di loro
– i server sulle VM non sono raggiungibili dall’esterno senza passare da squid
– i server sulle VM non possono accedere all’esterno nessun caso In più possiamo specificare delle access list su squid per poter bloccare taluni comportamenti come il famoso baco di IIS che permetteva di eseguire cmd.exe dentro un’url del browser semplicemente creando una regola che non permetta di accedere ai server se trova la stringa “cmd.exe” nell’url cosi:
acl iis_nocmd urlpath_regex -i cmd.exe
http_access deny iis_nocmd
Per ogni cosa mi potete trovare all’indirizzo raniero.net at gmail.com ]]>
Nessun commento “Hosting di server virtuali in DMZ con reverse proxy”
s’aggiunga che LoSpippolo è un vecchio conoscente di tastiera.
una persona squisita, per me è un’onore vero aver un suo manufatto sul mio etechs!
🙂
spero ce ne saranno altri, ovviamente senza impegno 😉
Ovviamente 😉
beh, onore mi sembra davvero troppo, diggiamo che m’arrabatto….
alla prox.
saluti