Proxmox: IP Spoofing (Klau) verhindern (QEMU / KVM)
IP Spoofing (Klau) verhindern
Irgendwann kommt man Administrator einer Proxmox Umgebung an den Punkt, an dem man sich die Frage stellt:
Wie verhindere ich, dass eine QEMU / KVM – VM IP Adressen benutzt, die sie garnicht benutzen soll?
Und genau damit werden wir uns heute beschäftigen, denn Proxmox bietet hier “ab Werk” eine elegante, sehr einfache und effektive Lösung an mit der verhindert werden kann, eine VM eine andere IP nutzt, als sie “darf”.
Die Bilder, die hier verwendet werden stammen aus meiner eignen Umgebung – die verwendeten IPs dienen ausschließlich als Beispiel. Das Beispiel wird in Proxmox 7 abgebildet (Proxmox 7.1-8 2021) auf Basis von Debian 11 Bullseye.
Als erstes ist wichtig, dass wir uns anschauen, welche Interfaces der VM zugewiesen wurden, denn die Namen der Interfaces benötigen wir später [netX]. Dazu navigieren wir zu “VM ->Hardware“:
In diesem Fall ist “net0” der Name des Netzwerkinterfaces auf dem Hostsystem.
Wichtig ist, dass der Name auch anders als in diesem Beispiel sein kann (bspw. net1 ….). Merken wir uns also den Interfacenamen net0 und schauen uns nun den Bereich der Firewalloptionen an. Dazu navigieren wir zu “VM -> Firewall -> Options“
Hier setzen wir “Firewall” auf aktiv. Zusätzlich aktivieren wir die Option “IP filter”.
Achtung Stolperfalle:
Input Policy steht per default auf “DROP” – das heißt, wenn die Firewall aktiviert wird, keine Firewallregeln vorhanden sind, wird der komplette eingehende Netzwerktraffic geblockt. Sofern dies nicht gewünscht wird, sollte Input Policy auf “ACCEPT” gestellt werden.
Die übrigen Werte sind für das verhindern von IP Spoofing nicht relevant.
Im letzten Schritt navigieren wir zu “VM -> Firewall -> IPSet” um ein neues IPSet anzulegen.
“IPSet -> Create“
Name: ipfilter-net0 <- Wenn euer Interface “net1” heißt, dann lautet der Name ipfilter-net1
Anschließend könnt ihr im rechten Fenster auf “IP/CIDR: -> Add” klicken und unter “IP/CIDR” die IP-Adresse eingeben (1.2.3.4), die in der VM erlaubt sein soll.
Achtung:
Wenn der Haken bei “nomatch” aktiviert ist, sind alle IP-Adressen AUßER die, die ihr bei “IP/CIDR” eingetragen habt erlaubt.
Nun kann man in der VM nur noch diese Adresse benutzen.
Nice-to-Know: Bis die Änderung aktiv wird, können bis zu 5 Minuten vergehen.
Bei Fragen, gerne melden 🙂
