News
ZurückFirewall mit Floating IPs kombinieren
Floating IPs helfen dir, die Verfügbarkeit deiner Anwendung zu erhöhen, und erleichtern das Management deines Setups. Sie lassen sich zwischen virtuellen Servern verschieben, um eingehenden Traffic immer zum gewünschten Server zu leiten. Zudem bleiben sie erhalten, wenn du mal einen Server komplett ersetzen willst oder musst. Nutze diese Vorteile nicht nur bei Servern, die direkt einen Service bereitstellen, sondern auch für deine Firewalls.
Firewall-Distributionen mit Floating IPs nutzen
Bei cloudscale stehen dir mit OPNsense und pfSense CE zwei dedizierte Firewall-Distributionen zur Verfügung: Wähle eines dieser Images, um einen virtuellen Server als Firewall zwischen dem offenen Internet und einem privaten Netz einzurichten. Diese Firewall kannst du anschliessend bequem in einer webbasierten Verwaltungsoberfläche konfigurieren und deinen Anforderungen anpassen.
Damit die Firewall auch Traffic verarbeitet, der über eine Floating IP ankommt, muss die Floating IP in der Verwaltungsoberfläche erfasst werden. Du findest die Einstellung bei OPNsense unter "Interfaces -> Virtual IPs", bei pfSense CE unter "Firewall -> Virtual IPs". Erfasse hier die Floating IP und die Prefix-Länge (/32
). In den meisten Fällen sollte "Type: IP Alias" und die Zuweisung zum "WAN"-Interface die passende Einstellung sein; mehr Details zu den einzelnen Optionen findest du in der Dokumentation zu OPNsense und pfSense CE. Übrigens: Standardmässig antworten OPNsense und pfSense CE nicht auf Pings; erfasse "ICMP Echo request" falls gewünscht in den Firewall-Rules, um dies zu ändern.
Willst du einen bestehenden Server hinter deine Firewall migrieren, der bereits einen Service unter einer Floating IP anbietet, kannst du – nachdem alles vorbereitet ist – einfach als letzten Schritt die Floating IP vom Server zur Firewall verschieben. Nutzt du bisher keine Floating IP, empfehlen wir, diese zuerst zum bestehenden Server hinzuzufügen und dann die DNS-Einträge anzupassen: So bleibt dein Service parallel unter der alten und neuen IP-Adresse verfügbar, während die neuen DNS-Einträge nach und nach aufgegriffen werden.
Tipps zur Umstellung bestehender Setups
Soll dein bestehender Server nach erfolgter Umstellung gar nicht mehr direkt aus dem Internet erreichbar sein, kannst du das "public" Interface vom Server entfernen. Hierzu benötigst du ein API-Token mit "Write access" sowie die UUID des Servers und des privaten Netzes, an das er angeschlossen sein soll. Den nötigen API-Call kannst du dann wie folgt via Kommandozeile absetzen:
curl -i -H "Authorization: Bearer 11112222333344445555666677778888" -H "Content-Type: application/json" -X PATCH --data '{"interfaces": [{"network": "11111111-2222-3333-4444-555555555555"}]}' https://api.cloudscale.ch/v1/servers/11111111-3333-5555-7777-999999999999
Beachte: Es ist auch möglich, später wieder ein public Interface zum Server hinzuzufügen; der Server wird in diesem Fall eine neue öffentliche IP-Adresse zugewiesen erhalten. Mehr Infos zu unserer API findest du in der API-Dokumentation.
Nach einer Änderung an den Interfaces empfiehlt sich, kurz die Namen der Interfaces zu prüfen. Falls diese nicht fest zugeordnet sind, könnten sie sich nach einem Reboot ändern (z.B. das private Netz von ens4
zu ens3
) und zu Connectivity-Problemen führen. Die Linux-Distributionen setzen hier auf unterschiedliche Tools; Stichworte dazu sind z.B. "netplan" und "udev-Rules".
Wenn ein Server nicht mehr direkt aus dem Internet erreichbar ist, benötigst du zudem einen neuen Weg, um darauf zuzugreifen. Wähle die Lösung, die dir am besten zusagt, z.B. ein VPN oder ein Port-Forwarding – je nach deiner Firewall-Strategie. Ebenfalls möglich ist es, zuerst via SSH zur Firewall zu verbinden, und dann von deren Kommandozeile aus weiter zum jeweiligen Server.
Für alle Fälle empfehlen wir schliesslich, auf deinem Server ein root-Passwort zu setzen, mit dem du dich "lokal", jedoch nicht via SSH einloggen kannst. Bei Boot- oder Verbindungsproblemen kannst du dich dann in unserem Control Panel via VNC-Konsole auf dem Server anmelden und das Problem beheben. Alternativ (und etwas umständlicher) kannst du den Server zur Fehlerbehebung auch mit einem temporär angeschlossenen Live-Linux starten.
cloudscale bietet eine Reihe an Features rund um die Sicherheit und Verfügbarkeit deiner Setups. Nutze und kombiniere diese je nach deinen Anforderungen und Vorlieben. Auch bei bestehenden Setups bleibst du flexibel und kannst z.B. die direkte Internet-Anbindung deiner Server durch eine dedizierte Firewall mitsamt Floating IP ablösen.
Sicherheit nach deinem Geschmack!
Dein cloudscale-Team