LINUCA
LINUCA - Asociación de Usuarios GNU/Linux en Cantabria
CONTENIDOS
. La Asociación
. ¡ Apúntate a socio !
. Fotos
. Los más leídos
. Autores [Actividad]
. Últimos Comentarios
. ¡Todos los titulares!
. Guía de Estilo
. Cómo publicar en Linuca
. Links cortos
. Lista de Correo
   [Mensajes antiguos]
   [Etiqueta en la Lista]
. Todas las Listas
. ¿Sugerencias?
. ¡Sindícanos!
Gràcies Bulma!
Esta página usa el código fuente de Bulma :-)
Busquedas

Ultimos kernels
(20/10/2014 14:15:34)
Debian
Última actualización
stable: 18/10/2014
testing: 20/10/2014
unstable: 20/10/2014
Como configurar una maquina con sistemas virtuales con Xen 3.0, LVM, firewall con shorewall, y servicios de web, mail y webmail. (16500 lecturas)
Por PEDRO LUIS GARCIA
pedrol (http://delpuerto.com)
Creado el 25/09/2006 15:39 modificado el 25/09/2006 15:39

Pagina6/7

Arrancamos nuestro primer domU anjana:


xm create /etc/xen/anjana.cfg

podemos hacer un listado de las maquinas y su estado para verificar su arranque:

domo0:/dev/vg# xm list
Name                              ID Mem(MiB) VCPUs State  Time(s)
Domain-0                           0      256     1 r-----  6278.2
anjana                            27       32     1 ------    33.7

ahora nos conectamos a anjana por consola

xm console anjana

nos loggeamos como root . en este momento ya podemos administrarla. En el caso de que algun comando como ping nos de problemas y no podamos cancelarlo con un ctrl+c debemos editar inittab en el domU en la linea "1:2345:respawn:/sbin/getty 38400 console " para que quede "1:2345:respawn:/sbin/getty 38400 tty1 ". La mejor forma de administrar la maquina es mediante ssh. Instalamos entonces el ssh, lo activamos y nos conectamos a su ip desde dom0.



Firewall Iptables con Shorewall en anjana:


En el caso de anjana, necesitamos configurar un firewall. Para ello, hemos barajado diferentes maneras de hacerlo y buscando la rapidez, sencillez y fiabilidad nos decantamos por un frontend o un script ya probado de iptables. Sobre frontends y scripts está llena la pagina de http://www.linuxguruz.com/iptables/ y hay muchos para elegir. Entre los mas completos y por los que mas se han decantado los que han utilizado Xen ha sido shorewall.
Con Shorewall basicamente definimos las reglas en diferentes lugares y el se encarga de crear las reglas iptables para cargarlas. En este documento no vamos a adentrarnos en el funcionamiento de shorewall y vamos a realizar los cambios justos para nuestras necesidades.

Sobre shorewall, tenemos cantidad de documentación: http://www.shorewall.net/Documentation_Index.html 

http://www.shorewall.net/shorewall_setup_guide.htm
y tenemos la opción de que puede trabajar con un frontend en web con webadmin.
Vamos a basarnos en la configuración de la documentación y articulos relacionados con xen y shorewall como http://www.shorewall.net/XenMyWay.html. En ellos se describen configuraciones muy similares a las nuestras que nos ayudaran a configurar el shorewall. Vamos a seguir una configuración para tres interfaces segun http://www.shorewall.net/three-interface.htm nuestra red local y maquina de usuario y nuestra dmz.


Instalamos un shorewall 3.X. :





NOTA-> si tenemos problemas y solo podemos hacer ping desde las domU, hagamos un (deberiamos hacerlo por cada reinicio) ethtool -K eth0 tx off


Podemos instalar shorewall por apt o descargar y utilizar las sources. Hemos optado por apt:


apt-get install shorewall shorewall-doc


Una vez instalado, copiamos los archivos de configuración desde /usr/share/doc/shorewall/default-config a /etc/shorewall.


cp /usr/share/doc/shorewall/default-config /etc/shorewall

packet forwarding en shorewall.conf a on

activamos shorewall en /etc/default/shorewall con startup=1

Podemos realizar una copia de los archivos de ejemplo para three-interface ya configurados en la carpeta de documentación de shorewall y modificarlo para nuestras necesidades.

En este articulo no entraremos en la configuración de shorewall para tres interfaces pues es practicamente identica a la configuración de los archivos de ejemplo salvo las direcciónes, nombres de interfaz y redirecciónes de puertos que queramos hacer contra las maquinas de la DMZ. Nuestra intención es configurar tres interfaces, una para la DMZ, otra para maquinas locales en la MZ y otra para el acceso a la red. Cerraremos todos los accesos y mediante DNAT llevaremos el trafico a los puertos de las maquinas de la DMZ.


SI realizamos la copia de los archivos ya configurados y modificamos interfaces, policy y rules, luego necesitamos hacer un DNAT en función de las maquinas en rules:


ejemplo:



#Acceso a servicios de maquinas en DMZ.

#maquina arquetu


Web/DNAT net dmz:192.168.1.103

Web/ACCEPT loc dmz:192.168.1.103


#maquina trasgu

DNAT net dmz:192.168.1.104 tcp 25

DNAT net dmz:192.168.1.104 tcp 993



#maquina trenti

DNAT net dmz:192.168.1.106 tcp 81




Paginas: <<Abreviatura Anterior  1  2  3  4  5  6  7  Abreviatura Siguiente>>

Imprimir
Version para
imprimir

Imprimir
Version
PDF
Calificacion
***0
Votos: 12
SECCIONES
Artículo
Truco
Noticias
Breve
Enlace
Linuca
Libros
Tira ECOL
Tira Ecol
Modificado: 18/11/2011 09:27:55 | Tiempo Total: 0.013 segs | Kernel: Linux - x86_64 - 2.6.18-xen | Last Boot: 03/12/2010 01:21 CET
Powered By WEB-Bulma   Apache   Mysql   PHP   Gimp