simulation de securisation de virtualisation

[Franck78]

çà s'appelle de l'humour

mais tu ne dis toujours pas ce que tu cherches. Tu es lassant.

[gemoussier]

Salut,

D'abord je dois avouer ne pas comprendre grand chose à ce que tu veux faire, mais mon interprétation personnel me fait peur.

D'abord quand tu parles d'hôte, de lan, de dmz et de routeur à 3 pattes... Si tu nous parlais de te configuration actuelle ?

Avec les informations que tu as donné, je comprends cela : tu as un serveur qui sert actuellement à on-ne-sait-pas-trop-quoi-mais-c'est-pas-la-question et un routeur. Sur ce serveur il y a déjà un OS en utilisation et tu veux donc ajouter tes VM sur ce serveur par le biais de on-ne-sait-pas-quelle-solution. Le but recherché étant que le serveur de départ ne se rende compte de rien : les VM tournent dessus mais il ne doit se rendre compte de rien.
Tu as donc plusieurs cartes réseaux et l'idée serait de faire passer le traffic des VM par une carte spécifique du serveur différente de celle qu'il utilise en temps normal.
Tu n'utilises donc pas un hyperviseur ?

En résumé : un serveur, 1 OS hôte, 2 VM ("lan et dmz"), 3 cartes réseaux, chacun son câble réseau vers le routeur/firewall qui va gérer les échanges.

[kro_kro]

Salut,

D'abord je dois avouer ne pas comprendre grand chose à ce que tu veux faire, mais mon interprétation personnel me fait peur.

D'abord quand tu parles d'hôte, de lan, de dmz et de routeur à 3 pattes... Si tu nous parlais de te configuration actuelle ?

Avec les informations que tu as donné, je comprends cela : tu as un serveur qui sert actuellement à on-ne-sait-pas-trop-quoi-mais-c'est-pas-la-question et un routeur. Sur ce serveur il y a déjà un OS en utilisation et tu veux donc ajouter tes VM sur ce serveur par le biais de on-ne-sait-pas-quelle-solution. Le but recherché étant que le serveur de départ ne se rende compte de rien : les VM tournent dessus mais il ne doit se rendre compte de rien.
Tu as donc plusieurs cartes réseaux et l'idée serait de faire passer le traffic des VM par une carte spécifique du serveur différente de celle qu'il utilise en temps normal.
Tu n'utilises donc pas un hyperviseur ?

En résumé : un serveur, 1 OS hôte, 2 VM ("lan et dmz"), 3 cartes réseaux, chacun son câble réseau vers le routeur/firewall qui va gérer les échanges.

mon cher vous avez tout compris !

[HaM]

C'est exactement la même chose que ce que j'ai proposé. Au lieu de mettre les interfaces VLAN dans les différents bridges tu y mets les interfaces physiques ...

[jdh]

mon cher vous avez tout compris !

De l'art de prendre les gens pour des truffes !


gemoussier a écrit:

D'abord je dois avouer ne pas comprendre grand chose à ce que tu veux faire, mais mon interprétation personnel me fait peur.

D'abord quand tu parles d'hôte, de lan, de dmz et de routeur à 3 pattes... Si tu nous parlais de te configuration actuelle ?

Avec les informations que tu as donné, je comprends cela : tu as un serveur qui sert actuellement à on-ne-sait-pas-trop-quoi-mais-c'est-pas-la-question et un routeur. Sur ce serveur il y a déjà un OS en utilisation et tu veux donc ajouter tes VM sur ce serveur par le biais de on-ne-sait-pas-quelle-solution. Le but recherché étant que le serveur de départ ne se rende compte de rien : les VM tournent dessus mais il ne doit se rendre compte de rien.
Tu as donc plusieurs cartes réseaux et l'idée serait de faire passer le traffic des VM par une carte spécifique du serveur différente de celle qu'il utilise en temps normal.
Tu n'utilises donc pas un hyperviseur ?

En résumé : un serveur, 1 OS hôte, 2 VM ("lan et dmz"), 3 cartes réseaux, chacun son câble réseau vers le routeur/firewall qui va gérer les échanges.

gemoussier écrit des choses simples :
- il ne comprend pas grand chose : comme d'autres,
- il y a un OS : on ne sait pas lequel MAIS on voudrait 2 VM : si on veut des VM, il faut un système de virtualisation !
- il y aurait un hyperviseur : bien sur, on n'en parle pas !

Bref ce fil est une plaisanterie :
- présentation nullisme du contexte : un OS qui tourne mais pas de système de virtualisation !
- un but parfaitement incertain :
- des pistes lancées (pourtant avec peu d'informations)
- des personnes qui répondent qui sont tançées.

Cela suffit : moi j'ajoute à ma liste de ceux à qui je ne réponds plus !
Je n'aimerais pas travailler avec vous. Et si j'étais votre patron, je vous mettrais vite face à vos responsabilités : soit il y a un travail fourni soit d'autres feront le boulot, l'entreprise (et moi) n'a pas de temps à perdre avec les bricoleurs du dimanche : on est un professionnel, et puis c'est tout.

[philippe_PMA]

... en dehors du pci passthru qui n'est pas compatible avec ma configuration ...
...

Pourquoi c'est pas compatible ?

[philippe_PMA]

Je pense que le lien donné devrait t'aider : http://www.standingonthebrink.com/index.php/ipv6-ipv4-and-arp-on-xen-for-vps/.

Ca concerne xen, mais c'est en fait applicable à d'autres, comme kvm.

[kro_kro]

... en dehors du pci passthru qui n'est pas compatible avec ma configuration ...
...

Pourquoi c'est pas compatible ?

bonne question,
il semble que IOMMU ne soit disponible en AMD que sur quelques cartes mères OPTERON ...
j'ai au max un PHENOM 920 et chipset NVIDIA sur carte mère asus M3N78


Pour ceux qui ne savent pas lire

a Jdh ,
oui proxmox est pas mal , je l'ai essayé pour tester Virconel .... c'est joli, et pas mal pour faire des labos de cours ... pour des démos de routage par exemple ...
VDE ne me semble pas correspondre au besoin , car une interface bridgée sur plusieurs vm = un HUB! bien plus simple!


a franck78
oui oui , je sais , mais je voudrais que mon serveur fasse son tartuffe en disant "cachez moi ce réseau que je ne saurais voir"


bref je veux maquetter un truc tel que les machines virtuelles du LAN s'adressent au routeur (3 pattes , rouge=inet, vert=Lan, orange=dmz) .... et lycée de versailles pour la DMZ ...

j'ai un routeur à 3 pattes , un serveur (hote ) a deux pattes dmz et lan .

et je veux voir mes paquets passer par le routeur !!!!

c'est moche : isn't it ?


plus tard, quand j'aurais + de matériel , les machines virtuelles migreront (si elles sont encore en vie) dans une vraie dmz


pour finir j'ai jeté mon dévolu sur KVM, qui est mieux maintenu dans les distributions , alors que XEN exige la re-compile systématique du dom0 ....

et xenserver5.5 est si limité qu'il ne reconnait par mes cartes réseau ...

donc "hyperviseur" KVM et j'en ai marre de re-compiler XEN ...

et

mon cher vous avez tout compris !

Je n'aimerais pas travailler avec vous. Et si j'étais votre patron, je vous mettrais vite face à vos responsabilités : soit il y a un travail fourni soit d'autres feront le boulot, l'entreprise (et moi) n'a pas de temps à perdre avec les bricoleurs du dimanche : on est un professionnel, et puis c'est tout.

et vous avez pensé au cas ou je pourrais être votre patron ?
ce type de réflexion est franchement déplacé ! et c'est vous qui me prenez pour une truffe !!!


je ne donne pas trop d'info, car certaines descriptions faites sur ce forum on déjà servi de base de cours d'ingénierie sociale et de pentest ....

questions subsidiaire : comment sont isolées les différentes dmz dans une même ferme de serveurs mutualisés ?

[jdh]

Alors pas foutu de trouver cette page (10eme lien avec kvm network sur G.) :

http://www.linux-kvm.org/page/Networking

[ccnet]

je ne donne pas trop d'info, car certaines descriptions faites sur ce forum on déjà servi de base de cours d'ingénierie sociale et de pentest ....

La phrase est à peine compréhensible. Un peu de sérieux néanmoins.