Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 3969 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hetzner----Proxmox----KVM----Astaro----vservers

Karl34
Hello
I have an dedicated EQ4 Server from Hetzner.
I has order 3 additional IPś.
The following setup i try to setup:

Internet----Proxmox-----Astaro.in.kvm----my.vservers.in.DMZ

With this Setup i want Protect my vservers.
My Proxmox /etc/network/interface 
auto eth0

iface eth0 inet static

        address  176.9.17.15

        netmask  255.255.255.224

        gateway  176.9.17.1

        broadcast  176.9.17.31

        pointopoint  176.9.17.1

        post-up mii-tool -F 100baseTx-FD eth0

        post-up echo 1 > /proc/sys/net/ipv6/conf/eth0/proxy_ndp

        post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

        post-up echo 1 > /proc/sys/net/ipv4/ip_forward



auto vmbr0

iface vmbr0 inet static

        address  176.9.17.15

        netmask  255.255.255.224

        broadcast  176.9.17.31

        bridge_ports none

        bridge_stp off

        bridge_fd 0

        up ip route add 176.9.33.12 dev vmbr0

        up ip route add 176.9.33.14 dev vmbr0

        up ip route add 176.9.27.26 dev vmbr0



auto vmbr1

iface vmbr1 inet manual

        bridge_ports none

        bridge_stp off

        bridge_fd 0

So i  has install Astaro without Problems, in Proxmox i give the Astaro 3x vmbr0 for 3 NICs  WAN/Internal/DMZ

From the Network ports config in Astaro i has made Pictures.
When i make an vserver for  internal it get an automatic Lokal IP and get acces to internet all so how i want it. But what must i do when i want an vserver in DMZ with an static ip from the ips i get from hetzner?
thank you


This thread was automatically locked due to age.
Parents
  • 0
    Ok, you've configured the NAT rules a little goofy.
    DNAT:  
    Traffic Source:  Use the built-in Any rule instead.
    Traffic Service:  Use the built-in Any rule instead of the custom one that you've created.  Normally you would only use a few services here though.  Opening up your server to be accessed on every port is a massive security risk.  For example if you only want to host a website, then you would just use the HTTP service definition.
    Traffic Destination:  Use the System created Network (Address) object with an icon that looks like a NIC for the additional address that you want, not a standard host/network object that you've created.  For you it'll be called something like "External WAN [eth1] [vserver2] (address).

    Destination:  This is correct, use a host definition object.
    Destination Service:  If you are not using port translation, this needs to be blank.

    See the attached screenshot for a proper DNAT rule.

    Same basic ideas with the SNAT, so you'll need to fix that up as well.
Reply
  • 0
    Ok, you've configured the NAT rules a little goofy.
    DNAT:  
    Traffic Source:  Use the built-in Any rule instead.
    Traffic Service:  Use the built-in Any rule instead of the custom one that you've created.  Normally you would only use a few services here though.  Opening up your server to be accessed on every port is a massive security risk.  For example if you only want to host a website, then you would just use the HTTP service definition.
    Traffic Destination:  Use the System created Network (Address) object with an icon that looks like a NIC for the additional address that you want, not a standard host/network object that you've created.  For you it'll be called something like "External WAN [eth1] [vserver2] (address).

    Destination:  This is correct, use a host definition object.
    Destination Service:  If you are not using port translation, this needs to be blank.

    See the attached screenshot for a proper DNAT rule.

    Same basic ideas with the SNAT, so you'll need to fix that up as well.
Children
No Data