Arrancamos nuestro primer domU anjana:

xm create /etc/xen/anjana.cfg

podemos hacer un listado de las maquinas y su estado para verificar su arranque:

domo0:/dev/vg# xm list
Name                              ID Mem(MiB) VCPUs State  Time(s)
Domain-0                           0      256     1 r-----  6278.2
anjana                            27       32     1 ------    33.7

ahora nos conectamos a anjana por consola

xm console anjana

nos loggeamos como root . en este momento ya podemos administrarla. En el caso de que algun comando como ping nos de problemas y no podamos cancelarlo con un ctrl+c debemos editar inittab en el domU en la linea "1:2345:respawn:/sbin/getty 38400 console " para que quede "1:2345:respawn:/sbin/getty 38400 tty1 ". La mejor forma de administrar la maquina es mediante ssh. Instalamos entonces el ssh, lo activamos y nos conectamos a su ip desde dom0.

Firewall Iptables con Shorewall en anjana:

En el caso de anjana, necesitamos configurar un firewall. Para ello, hemos barajado diferentes maneras de hacerlo y buscando la rapidez, sencillez y fiabilidad nos decantamos por un frontend o un script ya probado de iptables. Sobre frontends y scripts está llena la pagina de http://www.linuxguruz.com/iptables/ y hay muchos para elegir. Entre los mas completos y por los que mas se han decantado los que han utilizado Xen ha sido shorewall.
Con Shorewall basicamente definimos las reglas en diferentes lugares y el se encarga de crear las reglas iptables para cargarlas. En este documento no vamos a adentrarnos en el funcionamiento de shorewall y vamos a realizar los cambios justos para nuestras necesidades.

Sobre shorewall, tenemos cantidad de documentación: http://www.shorewall.net/Documentation_Index.html 

http://www.shorewall.net/shorewall_setup_guide.htm
y tenemos la opción de que puede trabajar con un frontend en web con webadmin.
Vamos a basarnos en la configuración de la documentación y articulos relacionados con xen y shorewall como http://www.shorewall.net/XenMyWay.html. En ellos se describen configuraciones muy similares a las nuestras que nos ayudaran a configurar el shorewall. Vamos a seguir una configuración para tres interfaces segun http://www.shorewall.net/three-interface.htm nuestra red local y maquina de usuario y nuestra dmz.

Instalamos un shorewall 3.X. :

NOTA-> si tenemos problemas y solo podemos hacer ping desde las domU, hagamos un (deberiamos hacerlo por cada reinicio) ethtool -K eth0 tx off

Podemos instalar shorewall por apt o descargar y utilizar las sources. Hemos optado por apt:

apt-get install shorewall shorewall-doc

Una vez instalado, copiamos los archivos de configuración desde /usr/share/doc/shorewall/default-config a /etc/shorewall.

cp /usr/share/doc/shorewall/default-config /etc/shorewall

packet forwarding en shorewall.conf a on

activamos shorewall en /etc/default/shorewall con startup=1

Podemos realizar una copia de los archivos de ejemplo para three-interface ya configurados en la carpeta de documentación de shorewall y modificarlo para nuestras necesidades.

En este articulo no entraremos en la configuración de shorewall para tres interfaces pues es practicamente identica a la configuración de los archivos de ejemplo salvo las direcciónes, nombres de interfaz y redirecciónes de puertos que queramos hacer contra las maquinas de la DMZ. Nuestra intención es configurar tres interfaces, una para la DMZ, otra para maquinas locales en la MZ y otra para el acceso a la red. Cerraremos todos los accesos y mediante DNAT llevaremos el trafico a los puertos de las maquinas de la DMZ.

SI realizamos la copia de los archivos ya configurados y modificamos interfaces, policy y rules, luego necesitamos hacer un DNAT en función de las maquinas en rules:

ejemplo:

#Acceso a servicios de maquinas en DMZ.

#maquina arquetu

Web/DNAT net dmz:192.168.1.103

Web/ACCEPT loc dmz:192.168.1.103

#maquina trasgu

DNAT net dmz:192.168.1.104 tcp 25

DNAT net dmz:192.168.1.104 tcp 993

#maquina trenti

DNAT net dmz:192.168.1.106 tcp 81