none
Virtual Server & Isa Server RRS feed

  • Вопрос

  • Можно ли сделать так, чтобы хост система и виртуалки ходили в инет через ISA Server установленный как одна из вируальных машин? При этом все системы кроме Isa были не видны на публичном интерфесе.

    19 апреля 2007 г. 11:05

Ответы

Все ответы

  • Хост систему Вы вряд ли скроете. А все остальное - без проблем. Не вижу на какие вопросы даже отвечать.

     

    19 апреля 2007 г. 11:14
    Модератор
  •  Alexander Trofimov написано:

    Хост систему Вы вряд ли скроете. А все остальное - без проблем. Не вижу на какие вопросы даже отвечать.

     

     

    А можно ли как-то закрыть интерфей хоста, так чтобы не пострадал интерфейс ISA? Например через IPSec с запрещающей все политикой?

    19 апреля 2007 г. 11:21
  • Не совсем понимаю, что именно Вам нужно закрыть? Я бы на Вашем месте все-таки в боевом окружении ставил ISA на отдельную машину. Ну или, как минимум, на реальную.
    19 апреля 2007 г. 11:23
    Модератор
  • По крайней мере теоретически, такая конфигурация возможна. Один из физических сетевых интерфейсов потребуется выделить для внешнего интерфейса ISA сервера на виртуальной машине. Еще потребуется в Virtual Server аккуратно настроить все Virtual Networks. А чтобы сделать недоступным сетевой интерфейс в базовой операционной системе, следует открыть свойства подключения и сбросить флажки со всех клиентов, служб и протоколов, за исключением Virtual Machine Network Services.
    19 апреля 2007 г. 16:41
    Модератор
  • To osr.: это проверено, или мне лучше поколупаться, чтобы проверить? =)

     

    20 апреля 2007 г. 5:47
    Модератор
  • Александру: На конференции по виртуализации (в Москве) этот вопрос рассматривали. В двух вариантах - ISA на базовой ОС и ISA на виртуальной машине. Конечно, первый вариант в плане безопасности лучше, но и настраивать сложнее.
    20 апреля 2007 г. 6:20
    Модератор
  • Ммм... Что-то все-таки надо это попробовать... Спасибо за информацию =)
    20 апреля 2007 г. 6:32
    Модератор
  • Я постараюсь найти подробности. Это точно есть в моих записях, но попробую найти и в выложенных презентациях. Там есть еще один интересный момент - Microsoft поддерживает только ISA 2006 для использования совместно с Virtual Server, а ISA 2004 - нет. Не потому что не работает, а недостаточно протестирована.
    20 апреля 2007 г. 6:48
    Модератор
  • Ну принципиально-то 2006 от 2004 не сильно отличается. Хотя есть детали, конечно. Так что я думаю, что проблем быть не должно.

     

    20 апреля 2007 г. 6:54
    Модератор
  • Проверено - мин нет.

    У меня така штука уже полгода работает в продакшен режиме :-) Затевалось как пилотный, но поставки реального железа затянулось на полгода :-). Вот через такую виртуальную ISA наружу по HTTPS опубликована Citrix Farm (Citrix Gateway там же - виртуальный :-) ), и одновременно до 160 клиентов через Citrix  работают с Axapta. По информации клиента трафик до 1G в сутки. Вообщем красиво вышло - впору кейс в MSFT писать :-).

     

    Правда не галочку снимал на внешнем интерфейсе хост машины а просто IP выдал совсем левый (что то там 10.х.х.х) который никуда не роутится. Но думаю это без разницы - можно и галочку снять. Дисеблить этот интерефейсе нельзя - на виртуальной ISA тоже отрубается.

     

    20 апреля 2007 г. 8:19
  • Не... Интересует именно такая схема:

    1) есть выделенный интерфейс, с которого сняты все галочки кроме VM

    2) есть другой интерфейс, который родной для хост-машины

    3) есть ИСА на виртуалке

    4) Виртуалка глядит с первого интерфейса.

    Могу ли я через первый интерфейс как-то навредить хост-машине?

     

    Но кейс напишите - не MS так мне интересно =)

     

    20 апреля 2007 г. 8:26
    Модератор
  • Если в службе VM на интерфейсе обнаружится какой-либо баг (например, переполнение буфера), но навредить хостовой машине безусловно можно - служба-то на ней работает.
    20 апреля 2007 г. 11:02
    Модератор
  • Ну это ежу понятно.. Ладно. Будем мало-мало делать эксперименты, если получится. Все-таки у меня только один интерфейс на машине, а делать VM внутри VM - имхо перебор.
    20 апреля 2007 г. 11:24
    Модератор
  •  Alexander Trofimov написано:

    1) есть выделенный интерфейс, с которого сняты все галочки кроме VM

    2) есть другой интерфейс, который родной для хост-машины 

     т.е 2 физических интерфейса наружу? работать точно будет какие могут быть проблемы.

    И зачем тогда через интерфейс 1. виртуальной ISA "вредить" хосту? Тут же рядом наржу смотрит интерфейс 2 и следовательно ISA его никак не обрабатывает и даже не видит. Вообщем гораздо более уязвимое место :-)

    Вся прелесть что бы высунуть наружу только виртуальный интерфейс 1, спрятав реальный 2. Дисеблить нельзя - отвалятся оба. Вот задача и решается сниманием галочки с протокола IP или назначением левого немаршрутизируемого адреса.

    20 апреля 2007 г. 12:14
  • А на каком уровне работает служба виртуального интерфейса?

     

    Я к тому, что возможно ли для надежности защитить хост с помощью IP Sec или Firewall?

    20 апреля 2007 г. 13:53
  • To Cookie_Monster

    Да нет, второй не обязательно наружу. Может второй - в локалку.

    Может его и вовсе нет, но это вряд ли, конечно =)

    20 апреля 2007 г. 14:01
    Модератор
  • По идее что IP Sec, что Firewall это уровень протокола IP, а VM начинается с уровня ARP..... т.е. ниже.

     

    Сейчас пакеты обрабатываются сначала драйвером IP Sec, а потом Firewall.

    В следующих версих ОС  IP Sec и Firewall объеденины. Но есть ли там опция фильтровать VM? Думаю нет.

    20 апреля 2007 г. 14:01
    Модератор
  • Для любителей лабораторных работ могу предложить способ как пропустить трафик на VM через IP Sec или Firewall хостовой машины.

     

    Надо создать на хостовой машине loopback интерфейс, привязать VM к нему (а не к внешнему интерфейсу), настроить роутинг внутри хостовой машины и снаружи. Тогда трафик от внешнего интерфеса до lopback-а можно полностью контролировать на хостовой машине как угодно!

    20 апреля 2007 г. 14:07
    Модератор
  • 20 апреля 2007 г. 19:52
    Модератор