Bonsoir à tous,
 
Je vous explique la situation :
 
Je suis en train de mettre en place un serveur 'qui fait tout', à base de virtualisation, afin surtout de ne pas avoir mon serveur web ; sur le même serveur que mes données..... et ca me fait en prime un bel exercice    
 
Donc une bonne debian, un moteur de virtualisation (Xen), un iptable pour du Nat, et derrière ce Nat 2 à 3 machine virtuelles potentiels ; on va rester sur 2 pour le moment, ne m'étant pas occupé de la dernière.
 
Mon réseau perso est composé de :
 
Internet ---- [Freebox (192.168.0.1) [ ----- ] Station de travail & Wifi (192.168.0.80-200)
                              |
                              L -------- [ Serveur Xen [ --------- ] Serveur web (192.168.1.123)
                                                     |
                                                     L ----------------- ] Serveur Data (192.168.2.123)
 
Je sais que j'aurais pu me passer d'iptables et du NAT, et laisser ce role à la Freebox, mais un peu SM sur les bords , j'ai voulu (enfin !) m'attaquer à iptables / Netfilter.
 
Le serveur Xen ne doit etre accessible que par SSH, uniquement à partir d'adresses précises. OK
Les VMs, ne doivent être accessible par SSH, que par le Serveur Xen (je verrais ultérieurement si je passe outre, en remappant les ports SSH pour chaque machine + routage ; si une autre soluce merci d'exposer) OK.
Les machines ne doivent pas se voir entre elles. OK.
Les connections HTTP doivent être redirigé vers le serveur web. OK
Partage réseau redirigé vers le serveur de Data. OK
 
Et en prime, voici mes tables (merci de commenter, en bon, en mauvais, du moment que cela reste constructif) :
 

 
 
Jusqu'à présent, tout va bien dans le meilleur des mondes.... sauf que :
- avec la redirection du port 80, pas moyen de faire un apt-get avec les VMs.
- avec la redirection des ports SMB, cela limite le partage au serveur de Data.... comment je fais si je veux partager ma racine du serveur web pour mon dev ????    
 
Pour la 1ère problématique, je bute ???? J'imagine qu'il y a une soluce purement réseau, mais je vois pas laquelle..... je ne vois que la soluce de changer mes règles iptables quand je fais mes updates de VMs....
 
Pour la 2ème, par contre, je n'en vois pas trop.... à part remapper les ports SMB au niveau routage (et du serveur web), mais cela impliquerait également de le faire également à la demande sur ma machine cliente.... pas très pratique....
 
Voila, merci d'avance de vos réponses !
 
 
Hadrieno

C'est pas plus simple de bridger les interface des deux machines virtuelles à l'interface XEN et de les gérer comme 2 machines indépendantes ?

edit: C'est ce que tu voulais dire par "Je sais que j'aurais pu me passer d'iptables et du NAT, et laisser ce role à la Freebox, mais un peu SM sur les bords  , j'ai voulu (enfin !) m'attaquer à iptables / Netfilter. " ?

1er problème : limite ta règle aux paquets dont le "state" est à "new"
 
2ème problème : la seule solution que je vois est de passer par un bridge plutôt que par du NAT. Eventuellement rajouter des règles iptables pour blinder ton serveur Xen et ses VMs.

 
Pour le 2ème point, je vais y réfléchir.... Merci !
 
 
Je test ça dans le semaine