Proxmox VE 3.0

[Fisherman]

Hallo zusammen,

Proxmox ist eine Virtualisierung-Management Umgebung die es einem erlaubt auf einfache Weise KVM und OpenVZ Container zu verwalten. Die Installation gestaltet sich recht einfach mit der angebotenen Iso.
Proxmox läuft problemlos auch selbst in einer virtuellen Umgebung (zB: VirtualBox).

Einzig die Netzwerkeinstellungen sind für mich etwas gewöhnungsbedürftig gewesen, warum ich auch diesen Thread hier schreibe. Vielleicht hilft es dem ein oder anderen tagelanges ausprobieren zu vermeiden ....

Im folgenden werde ich beschreiben, wie man ein Proxmox mit einer externen IP und einem 10.1.1.0/24 internem Netz betreibt.

Alle Clients sollen auf das Internet zugreifen können, sowie untereinander kommunizieren können.
Es ist kein Zugriff vom Internet auf die internen Clients möglich.

Proxmox läuft auf einem Debian System, welches gleich mit installiert wird. Wir werden die Änderungen auf der Konsole durchführen.

Bei der Erstinstallation wurde eth0 durch vmbr0 bebrückt und dies wollen wir im ersten Schritt rückgängig machen. Zukünftig soll eth0 die externe IP bekommen und die Brücke vmbr0 soll das interne Netz repräsentieren.

Code: Alles auswählen

# vim /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address  178.xxx.xxx.xxx
        netmask  255.255.255.0
        gateway  178.xxx.xxx.xxx

auto vmbr0
iface vmbr0 inet static
        address  10.1.1.1
        netmask  255.255.255.0
        bridge_ports none
        bridge_stp off
        bridge_fd 0

Nachdem wir die Änderung durchgeführt haben, starten wir die Umgebung komplett neu - gab bei mir ab und zu Probleme, wenn nur die Netzwerkschnittstellen neu initialisiert wurden, darum lieber Neustart durchführen.

Nun können wir uns wie gewohnt auf der externen IP mit der WebUI verbinden,die auf Port 8006 liegt. Nachdem wir ein paar Templates heruntergeladen haben können wir einen OpenVZ Container installieren. Wichtig hierbei ist das wir veth und nicht vethnet benutzen. Zwar wird empfohlen darauf zu verzichten, aber hiermit habe ich es nicht zum laufen bringen können.
Ich gehe mal davon aus das Ihr ein Debian Squeeze Template benutzt.

Dem Container geben wir also veth [eth0] mit auf den Weg und übernehmen die Einstellung vmbr0 als Brücke für die neue Schnittstelle zu verwenden.
Danach starten wir den Container und betreten Ihn um die neue Schnittstelle zu initialisieren.

Code: Alles auswählen

host-node]# vzctl enter 100
[ve-100]# ifconfig eth0 0
[ve-100]# ip addr add 10.1.1.100 dev eth0
[ve-100]# ip route add default dev eth0

Wenn weitere Container angelegt werden, diesen Schritt einfach wiederholen und die IP anpassen. [100]=100;[101]=101 etc. Prinzipiell egal welche IP benutzt wird, solange wir im Subnetz 10.1.1.0/24 bleiben ...

Nun begeben wir uns wieder auf den Host und installieren die folgende Firewall. Leider bringt Proxmox keine eigene Lösung mit und ohne Firewall möchten wir das nicht betreiben ....

Code: Alles auswählen

#!/bin/bash

# +---------------------------------------------------+
# | Firewall Proxmox 3
# |
# | Host: eth0 --> Internet fixed IP
# | 	  vmbr0 -> Intranet 10.1.1.0/24
# |
# | Script by Fisherman 2013
# | Hint:
# | Check iptables: watch -n 1 iptables -L -nv -x -Z
# +---------------------------------------------------+

EXTERN="eth0"
INTERN="vmbr0"

# Filterregeln löschen:
	iptables -F
	iptables -t nat -F
	iptables -t mangle -F
	iptables -X
	iptables -t nat -X
	iptables -t mangle -X

# Filterregeln auf 'DROP' setzen
	iptables -P INPUT DROP
	iptables -P FORWARD DROP
	iptables -P OUTPUT DROP

# Kernelparameter setzen
    	echo "[-->] Aktiviere Kernel Schutzmechanismen..."
    	# IP Forwarding einschalten
    	echo 1 > /proc/sys/net/ipv4/ip_forward
    	# ICMP Echo-Broadcasts ignorieren
    	echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
   	 # Ungültige ICMP-Antworten ignorieren
    	echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
	# Zeit wie lange Sockets die geschlossen sind erhalten bleiben
    	echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
    	# max  Antworten auf ein TCP-SYN
    	echo 3 > /proc/sys/net/ipv4/tcp_retries1
    	# max Wiederholungen  fuer bekannte Verbindungen bevor abgebrochen wird
    	echo 5 > /proc/sys/net/ipv4/tcp_retries2
    	# Schutz vor SYN-flood
    	echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
	# max Speichergroesse fuer IP-Defragmentierung  (max 256kb min 192kb)
    	echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
    	echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
    	# max Zeit in s wie lange IP Fragmente im Speicher bleiben
    	echo 5 > /proc/sys/net/ipv4/ipfrag_time
   	# ARP Adressen werden nicht geaendert wenn ein existierender Eintrag juenger als
    	# Jiffie Wert ist  (100 jiffie = 1 Sekunde)
    	echo 1000 > /proc/sys/net/ipv4/neigh/$EXTERN/locktime
	
	# Proxy Arp auf vmbr0 aktivieren
	echo 1 > /proc/sys/net/ipv4/conf/vmbr0/proxy_arp

# Ketten erstellen

	# Kette fuer Spoofing Packete
    	iptables -N SPOOFING_DROP
	#iptables -A SPOOFING_DROP -j LOG   --log-tcp-options   --log-prefix "[SPOOF] "
	iptables -A SPOOFING_DROP -j DROP

	# Kette fuer ungueltige Packete
	iptables -N INVALID_DROP
	#iptables -A INVALID_DROP -j LOG    --log-tcp-options   --log-prefix "[INVALID] "
	iptables -A INVALID_DROP -j DROP

   	# Kette fuer Stealth Scans
    	iptables -N STEALTH_DROP
       	#iptables -A STEALTH_DROP -j LOG    --log-tcp-options   --log-prefix "[STEALTH] "
    	iptables -A STEALTH_DROP -j DROP


   	# Korrupte Pakete zurueckweisen
    	iptables -A INPUT   -m state --state INVALID -j INVALID_DROP
    	iptables -A OUTPUT  -m state --state INVALID -j INVALID_DROP
    	iptables -A FORWARD -m state --state INVALID -j INVALID_DROP

	# Schutz vor IP Spoofing ( Senderadresse ist privat)
    	iptables -N PRIVAT
    	iptables -F PRIVAT
    	iptables -A PRIVAT  -s 127.0.0.0/8    -j SPOOFING_DROP # Loopback
    	iptables -A PRIVAT  -s 10.0.0.0/8     -j SPOOFING_DROP # privates Klasse A Netz
    	iptables -A PRIVAT  -s 172.16.0.0/12  -j SPOOFING_DROP # privates Klasse B Netz
    	iptables -A PRIVAT  -s 192.168.0.0/16 -j SPOOFING_DROP # privates Klasse C Netz
    	iptables -A PRIVAT  -s 224.0.0.0/4    -j SPOOFING_DROP # reservierte Multicastadressen
    	iptables -A PRIVAT  -s 240.0.0.0/4    -j SPOOFING_DROP # reservierte Adressen

    	# Schutz vor IP Stealth Scans
    	iptables -N STEALTH
    	iptables -F STEALTH
    	iptables -A STEALTH    -p tcp --tcp-flags ALL NONE  	-j STEALTH_DROP # kein Flag gesetzt
    	iptables -A STEALTH    -p tcp --tcp-flags SYN,FIN SYN,FIN   -j STEALTH_DROP # SYN und FIN gesetzt
    	iptables -A STEALTH    -p tcp --tcp-flags FIN,RST FIN,RST   -j STEALTH_DROP # FIN und RST gesetzt
    	iptables -A STEALTH    -p tcp --tcp-flags ACK,FIN FIN       -j STEALTH_DROP # FIN ohne ACK
    	iptables -A STEALTH    -p tcp --tcp-flags ACK,PSH PSH       -j STEALTH_DROP # PSH ohne ACK
    	iptables -A STEALTH    -p tcp --tcp-flags ACK,URG URG       -j STEALTH_DROP # URG ohne ACK

	# Letzte Regel zu Debug zwecken
	iptables -N DROP_PCK
	iptables -F DROP_PCK
	#iptables -A DROP_PCK -j LOG    --log-tcp-options   --log-prefix "[DROP DEBUG] "
	iptables -A DROP_PCK -j DROP

# Schutzketten aktivieren

    	# Weitergabe an Spoofing Regel
    	iptables -A INPUT   -i $EXTERN  -j PRIVAT
    	iptables -A FORWARD -i $EXTERN  -j PRIVAT

    	# Weitergabe an Stealth Regel
    	iptables -A INPUT   -i $EXTERN  -j STEALTH
    	iptables -A FORWARD -i $EXTERN  -j STEALTH

	echo "[-->] Konfiguriere Interface Loopback..."
    	# Kommunikation Auf Loopback
    	iptables -A INPUT -i lo -j ACCEPT
    	iptables -A OUTPUT -o lo -j ACCEPT

	echo "[-->] Konfiguriere Interface $EXTERN..."

# Dienste die aus dem Internet abrufbar sind.

	# TCP Dienste die auf dem Host System laufen - zulassen
	# SSH: TCP 22 
     	iptables -A INPUT  -i $EXTERN -p tcp --dport 22 -j ACCEPT
      	iptables -A OUTPUT -o $EXTERN -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

        # Proxmox WebUi: TCP 8006
        iptables -A INPUT  -i $EXTERN -p tcp --dport 8006 -j ACCEPT
        iptables -A OUTPUT -o $EXTERN -p tcp --sport 8006 -m state --state ESTABLISHED -j ACCEPT

    	# ICMP Nachrichten zum Gateway
      	iptables -A INPUT  -i $EXTERN -p icmp --icmp-type 8 -j ACCEPT
      	iptables -A OUTPUT -o $EXTERN -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT

# Dienste die das Gateway im Internet nutzt

	# TCP Dienste die das System benoetigt
	# HTTP: TCP 80 - Um Updates installieren zu koennen
      	iptables -A OUTPUT -o $EXTERN -p tcp --dport 80 -j ACCEPT
      	iptables -A INPUT  -i $EXTERN -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

   	# UDP Dienste die das System benoetigt
	# DNS: UDP 53
      	iptables -A OUTPUT -o $EXTERN -p udp --dport 53 -j ACCEPT
      	iptables -A INPUT  -i $EXTERN -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

   	# ICMP darf raus
    	iptables -A OUTPUT -o $EXTERN -p icmp --icmp-type 8 -j ACCEPT
	iptables -A INPUT  -i $EXTERN -p icmp --icmp-type 0 -j ACCEPT

	echo "[-->] Konfiguriere Interface $INTERN..."

# Dienste FORWARD

	# ICMP innerhalb des internen Netzes erlauben
	iptables -A INPUT -p icmp --src 10.1.1.0/24 --dst 10.1.1.0/24 -j ACCEPT
	iptables -A OUTPUT -p icmp --src 10.1.1.0/24 --dst 10.1.1.0/24 -j ACCEPT

	# Clients duerfen beliebige Verbindungen nach aussen aufbauen
	iptables -A FORWARD -i $INTERN -o $EXTERN -j ACCEPT
	iptables -A FORWARD -i $EXTERN -o $INTERN -m state --state ESTABLISHED,RELATED -j ACCEPT
	iptables -t nat -A POSTROUTING -o $EXTERN -j MASQUERADE

	# Den Rest einfach verwerfen ... 
	iptables -A INPUT -i $EXTERN -j DROP_PCK

Das Firewall Script hilft hoffentlich dem ein oder anderen, sein System ans laufen zu bekommen. Zahlreiche Threads im Internet geben Hinweise, aber eine konkrete Lösung wird sehr selten geboten.
Wer möchte kann das das Script erweitern um einzelne Dienste der Container nach aussen hin sichtbar zu machen.

Viel Spaß mit Proxmox

Gruß Fisherman

[Xin]

Ähh... ich will das hier nicht unkommentiert verkommen lassen, zumal mir das aussieht, als wäre das etwas sinnvolles. ^^

Wie wäre es mit einer Einleitung, einem Einstieg in dem Du erklärst warum man das brauchen kann und was es für einen Mehrwert für den Nutzer hat und dann packt man das als Artikel ins Wiki?
OpenVZ kenne ich zum Beispiel noch gar nicht, weil ich halt Entwickler bin und mit Virtualisierung bisher eher wenig zu tun hatte. Wenn Du Dich da besser auskennst, bau das aus und bring mir was bei!

[Fisherman]

Hi Xin,

ok - werde mich am WE dran setzen und was schreiben. Prinzipiell ist Proxmox sinnvoll, wen man zB: einen Root-Server (nicht dedicated) gemietet hat und auf Virtualisierung nicht verzichten möchte. Durch Proxmox bzw. OpenVZ ist es möglich dennoch zu virtualisieren, obwohl der "Root-Server" selbst schon virtualisiert ist.
Praktisch um zum Beispiel eine Datenbank nicht auf dem Host System laufen lassen zu müssen, sondern "versteckt" in einem Container. Durch die Firewall wird das Routing geregelt und somit kann man die Sache besser regeln. Genauso kann man einen Webauftritt in einen Container verpacken und die benötigten Ressourcen (Ram/CPU/Store) bequem über die WebUI regeln.

[viel "regeln" - wollte nur schnell antworten/Arbeit ruft - verständlicher wird es im Artikel samt Screener]

[Fisherman]

So - Artikel in Form einer pdf fertig. 19 Seiten Anleitung! Wer Interesse daran hat bitte Nachricht an mich, werde aber Xin bitten die pdf auf proggen zu hinterlegen.

Gruß Fisherman

[Xin]

So - Artikel in Form einer pdf fertig. 19 Seiten Anleitung! Wer Interesse daran hat bitte Nachricht an mich, werde aber Xin bitten die pdf auf proggen zu hinterlegen.

Grundsätzlich kann ich das PDF sicher hinterlegen - was ich auch gerne tue, schließlich hast Du Dir da ja auch Mühe gegeben.
Allerdings ist die Idee von proggen.org eher, dass Informationen im Wiki stehen - zum einen, damit sie bei Fehlern korrigiert werden können - auch dann, wenn der ursprüngliche Autor nicht ansprechbar ist.
Dafür ist PDF ein denkbar schlecht geeignetes Format.

Daher die Frage - was spricht für PDF, was gegen das Wiki?

[Fisherman]

Ich habe keine Freigabe für das Wiki hier auf proggen.org und somit blieb mir als Alternative nur das pdf Format. Habe versucht mich einzuloggen, aber ohne Erfolg! Der Wille war da ... Nun gut - 19 Seiten sind auch ne Menge Arbeit gewesen und die pdf kannst du sicherlich an den Thread hängen

[Xin]

Ich habe keine Freigabe für das Wiki hier auf proggen.org und somit blieb mir als Alternative nur das pdf Format. Habe versucht mich einzuloggen, aber ohne Erfolg! Der Wille war da ...

Der Wille war aber nicht übertrieben groß. ^^

Alternative 1: Mal nachfragen.
Alternative 2: Mal nachgucken. Da wäre zum einen die Startseite, zu finden unter www.proggen.org, auf der schonmal steht, dass Du einen zusätzlichen Account für das Wiki brauchst. An dem Punkt hättest Du nochmal bei Alternative 1 gucken können oder das Autorenportal aufsuchen können, das Dir sogar eine kleine Einführung in das Wiki gibt.
Das ist - ohne Anmeldung - zugegebenermaßen etwas versteckt unter den FAQs, aber wenn man nicht weiter weiß, wäre eine FAQ jetzt auch nicht wirklich unlogisch, oder?

Jedenfalls steht da:

Um Dich für's Wiki anzumelden, melde Dich bitte zuerst im Forum an und melde Dich bei Xin. Gerne lesen wir auch eine Uservorstellung. Dort kannst Du ebenfalls um einen Wiki-Account bitten, der Dir dann schnellstmöglich eingerichtet wird.

Nun gut - 19 Seiten sind auch ne Menge Arbeit gewesen und die pdf kannst du sicherlich an den Thread hängen

Das Ziel ist ja eben nicht, ein PDF an einen Thread zu hängen, den in drei Wochen keiner mehr findet, sondern die Informationen langfristig zugänglich zu machen. Dafür haben wir das Wiki ja.

Wiki-Account gefällig? ^^

[Fisherman]

Jaja ... lass mal gut sein. Ich habe schon vor ein paar Monaten darüber gesprochen (Asterisk pbx aufsetzen) und bis heute noch keinen Acc! Wollte eigentlich nur deiner bitte entsprechen und habe heute den gesamten Tag mit der Erstellung der pdf verbracht. Wenn dies so ein Problem darstellt, na dann ist es halt so und ich akzeptiere es.

[Thread closed]
PS: Wer weiterhin Interesse an der Proxmox Step-by-Step Anleitung hat,kann sich gerne an mich per PN wenden. Free-to-Share!

Gruß Fisherman

[Xin]

Jaja ... lass mal gut sein. Ich habe schon vor ein paar Monaten darüber gesprochen (Asterisk pbx aufsetzen) und bis heute noch keinen Acc!

Die Accounts muss ich von Hand anlegen, entsprechend mache ich das nicht bei jedem, der mal eben die Idee hat, etwas zu schreiben und dann doch nichts schreibt. Von Asterix habe ich schon lange nichts mehr gehört, wie ich von mehreren anderen Tutorials auch nichts mehr gehört habe. Das passiert hier ganz alltäglich, dass einer Ankündigungen macht und dann passiert nichts.
Und solange einer nur Ankündigungen macht, hat er sich mit dem Wiki auch nicht auseinander gesetzt, denn wer wirklich was schreiben wollte, hat bisher auch immer geschafft notfalls nachzufragen, wie er ins Wiki reinkommt.

Es gibt da ein Format Problem, mit PDF kann ich nicht viel anfangen. Wenn Du Dir nun keine Mühe mehr damit geben möchtest, so ist das Deine freie Entscheidung. Hier zwingt niemand irgendwen zu irgendwas. Aber ich schreibe den Text auch nicht ab, weil Du keinen Bock hast, den Text ins Wiki zu laden.

"Jaja, lass mal gut sein" klingt für mich nicht so, als ob Du einen Wiki-Account möchtest. Ich werde ihn Dir auch nicht aufzwängen. Es wäre nur schade, um die Arbeit, die Du Dir bereits gemacht hast.

Wollte eigentlich nur deiner bitte entsprechen und habe heute den gesamten Tag mit der Erstellung der pdf verbracht. Wenn dies so ein Problem darstellt, na dann ist es halt so und ich akzeptiere es.

Du hast aber nicht meiner Bitte entsprochen, denn da stand ausdrücklich "und dann packt man das als Artikel ins Wiki".

Der Text lässt sich vergleichsweise einfach ins Wiki kopieren. Aber nicht von einem PDF aus. Ein PDF ist absichtlich kein Import-Format. Du hast den Text bei Dir liegen und die Grafiken. Das müsstest Du es halt hochladen.

Wenn das ein Problem darstellt, dann ist das halt so und ich muss das akzeptieren.

[Thread closed]

Du bist Autor, Du entscheidest. Wenn Du einen Account möchtest, schreib mir eine PN. Wenn mal etwas nicht auf Anhieb klappt, dann gibt es das Forums-Board, das Tutorials-Board, um Dinge anzusprechen. "jaja, lass mal gut sein" und "Thread closed" heißt für mich "Kein Bock".
Das akzeptiere ich auch. Es ist aber nicht meine Arbeit, die damit verloren geht und wenn Du meinst in einer Community mit einem Alleingang irgendwas reißen zu können und zu glauben, dass sich ohne weitere Diskussion auf einmal alles nach Deinen Wünschen richtet, dann könnte das in einer Enttäuschung enden. Zur Diskussion und zur Planung von Wiki-Texten sind Boards da. Nutze sie einfach.

[Fisherman]

pdf: http://www.filedropper.com/virtualisierungproxmox