Zadejte hledaný výraz...

Hyper-V – Přístup zvenčí (port forwarding)

d@n
verified
rating uzivatele
(6 hodnocení)
19. 11. 2019 21:03:20
Dobrý den,
chci si zprovoznit webserver na Debian, který poběží na virtuálním stroji Hyper-V.
Potřebuji se k webům připojit zvenčí přes IP adresu a později přes doménu.
Nyní už mám nainstalovaný Windows Server a na Hyper-V běží Debian, který se mi podařilo připojit k sítí díky tomuto návodu: https://docs.microsoft.com/en-us/azure/virtual-machines/windows/nested-virtualization
Nyní váhám, jak mám dále postupovat a hlavně jak to prakticky udělat? Mám přikoupit další veřejnou adresu IPv4 nebo to řešit přes port forwarding?
Nyní se připojím přes SSH pouze z Windows Server na virtuální stanici s Debian, ale z domácího PC se na Debian nepřipojím. Jak to udělat, aby stroj s Debian byl dostupný zvenčí? (Firewall je vypnutý)
Máte s tím někdo zkušenosti? Nebráním se ani placenému vyřešení problému.
30205
19. 11. 2019 21:03:20
https://webtrh.cz/diskuse/hyper-v-pristup-zvenci-port-forwarding/#reply1424712
TomasX
verified
rating uzivatele
(4 hodnocení)
19. 11. 2019 22:25:38
u windows serveru bych rozhodně nedoporučoval firewall vypínat a nechat služby otevřené, ani rdp není bezpečné, velice rychle se ti tam dostane neplecha.
Pord forwarding nastavíš rychle na určité porty a jedeš, s obavou bych na tom ale provozoval třeba webový server. Jaké porty a proč potřebuješ zpřístupnit.
Delegovat celou IP nejlepší řešení a osobně bych šel touhle cestou
19. 11. 2019 22:25:38
https://webtrh.cz/diskuse/hyper-v-pristup-zvenci-port-forwarding/#reply1424711
d@n
verified
rating uzivatele
(6 hodnocení)
20. 11. 2019 00:53:21
u windows serveru bych rozhodně nedoporučoval firewall vypínat a nechat služby otevřené, ani rdp není bezpečné, velice rychle se ti tam dostane neplecha.
Firewall jsem vypnul jen po dobu testování. Nyní již mám povolené porty přímo ve firewall.
Pord forwarding nastavíš rychle na určité porty a jedeš, s obavou bych na tom ale provozoval třeba webový server. Jaké porty a proč potřebuješ zpřístupnit.
V tom je právě ten problém, netuším, kde mám porty nastavit. Nevíte o nějakém manuálu na internetu. Zkoušel jsem návody k nastavení portů přes Powershell a i v grafickém režimu, bez výsledku.
Nejspíše bude nutný jen port pro Apache a Putty (SSH).
30207
Delegovat celou IP nejlepší řešení a osobně bych šel touhle cestou
Takže kdybych si koupil další veřejnou adresu, tak odpadnou problémy s porty? Jen chci upozornit, že server má pouze jednu síťovou kartu.
20. 11. 2019 00:53:21
https://webtrh.cz/diskuse/hyper-v-pristup-zvenci-port-forwarding/#reply1424710
Connectica
verified
rating uzivatele
(5 hodnocení)
25. 11. 2019 08:22:13
Váš dotaz je více filozofická otázka přístupu než technického zaměření. Vzhledem k tomu, že se na to dotazujete, dá se předpokládat, že jste spíše začátečník až mírně pokročilý.
Míra zebezpečení je vždy rozdíl mezi pohodlím a náročností/cenou. Proto pokud máte výše uvedený setup pro svoje vzdělávací potřeby, aby bych se vůbec nebál napsat, a si necháte 3389 otevřenoý z celého světa. Ono koneckonců aspon budete mít reálnou zkušenost, za jak dlouho začne na RDP někdo útočit a za jak dlouho se povede hyper-V lousknout ;) Pokud máte Hyper-V odzálohováno, není to nic proti ničemu a získáte dobrou zkušenost, ze které se poučíte pro příště. Zálohování lze řešit tunou způsobů, klidně i hloupým, nativním WBAckupem: https://radekvymazal.cz/zalohovani-windows-server/
Pokud je samozřejmě setup pro zákazníka, tak výše uvedené ignorujte a pojdme přímo na praxi.
Ta úplně nejsnanější varianta je, nechat si na Hyper-V jednu IP a pokud na Debu neběží nic esenciálního, tak mu nechat port forward a basta. Pokud naopak na Debu je něco pro samostatného zákazníka, tak je dobrým zvykem mu tam poslat veřejku a at si s tím dělá co chce. Ať si jí zabezpečí jak chce a nese si za to zodpvoědnost (stejně jako vy nesete zodpovědnost za veřejku poslanou na hyper-V)
Aby jste mu tam mohl poslat samostatně veřejku, potřebujete na Hyper-V udělat virtuální bridge, přes který mu tam tu veřejku pošlete. Technicky je to snadné, myšlenkově také, ale naevím jak to udělat prakticky na Hyper-V.
Filozofickou otázkou je, proč je Deb na Hyper-V? Je to Hyper-V na Windows serveru, nebo je to Hyper-V na Windows 10 professional? Už jsem na W10Pro viděl jednu produkci, která samozřejmě hrozně zhavarovala za 3 roky a zákazníka to stálo 80tis celá oprava a výstavba zcela nové infrastruktury. Dobré je, že Microsoft v nových verzích Hyper-V se více otevřel světu linuxu, špatné je, že to chce hned při instalaci splnit několik podmínek, aby se na plno využil potenciál mikrokernelizace. (Udělal jste to?) Spíše pokud Vám na hypervizoru běží Deb, tak proč raději nevolit Proxmox?https://cnnc.cz/pve/
Každopádně zpět k dotazu ohledně PF a Hyper-V.
Zcela obecně nejlepší bezpečnost je zavřený port. Pokud port nejde zavřít, je několik cest jak zvýšit míru komplexity pro toto zabezpečení. Od změny čísla portu na nějaké vysoké číslo (alias security for obscurity), vyblokování na FW pro určité veřejné IP adresy, anebo nějakou další vrstvou typu pornoking (čti port knocking),MFA (nebo unějakých služeb typu SSH auth veřejným klíčem), VPNky, cokoliv. Je toho tuna z čeho vybírat.. Každá míra komplexity přidává práci navíc a je to specifické dle toho, jak to máte vy standardizováno. Je lepší alespoň něco než nic, když to přeženete tak se na to sám nedostanete za určitých situací. Když to podceníte, někdo či něco vám dříve či později louskne server a nadělá hroznou neplechu.
Také je dobré mít přehled o tom, jaké máte iLo/DRAC/iKVM či jak to chcete u různých výrobců nazvat. Tato věc je totiž achilova pata. Pokud si server jakkoliv zabezpečíte ale remote mgmt karta je tak blbá, že při třech falešných loginech Vás pustí na remote mgmt serveru, je celé zabezpečení zbytečné a na hovno :-)
Takže v konečném důsledku volba je na Vás. Rizika už nyní znáte a pohodlí je pohodlí :-)
Pro inspiraci zasílám ukázku setupu, který se mi líbí pro práci (je to pouze můj názor, nic co by bylo standardně používáno)
Hypervizor - Debian10 a nad ním Proxmox, patřičně zabezpečen, aby na něj byli pouze přístupy administrátorů
Na hypervizoru samostatná veřejná IP adresa a dva virtuální bridge
bridge1 - Slouží pro posílání veřejných IP adres dál
bridge2 - slouží pro adresaci strojů v LAN
Na satmotném hypervizoru virtualizovaný Mikrotik se samostatnou veřejnou adresou, patřečně zabezpečen dle MTCTCE https://cnnc.cz/mikrotik-routeros-firewalling/ a na něj nasazená fičura "IP firewall na bridge".
Poté "za MikroTikem" různé stroje. Nějaké, co mají veřejné adresy - tedy ty co jsou v public-ip-bridge anebo naopak mašiny co jsou v LANce, které nemají veřejku. Veškerý traffic jde přes MikroTik, ten dělá pro stroje v bridge1 i stroje v bridge2 firewall. Ergo - Na všech mašinách je fw vyplý.
Na Tiku běží i VPNka pro potřeby přístupu.
Výše uvedený setup se mi líbí, protože je to snadně škálovatelné a bezpečné řešení, které dobře funguje.
Tak snad jsem Vám trochu pomohl s volbou jak vás nasměrovat při stavbě infrastruktury a přeji hodně štěstí
25. 11. 2019 08:22:13
https://webtrh.cz/diskuse/hyper-v-pristup-zvenci-port-forwarding/#reply1424709
Pro odpověď se přihlašte.
Přihlásit