Für VServer Netzwerktraffic zwischen l okalen Interfaces sperren

Hallo!

Ich mache hier ein X-Post weil ich absolut nicht weiss wo das von der
Thematik her besser hinpasst.

Zum kurzem Verständnis: Linux VServer [1] ist eine relativ einfache
(Betriebssystem-) Virtualisierungstechnik für den Linux Kernel. Das
Netzwerk wird dabei überhaupt nicht virtualisiert sondern nur das
Netzwerksubsystem erweitert: Einem Interface wird einfach eine
zusätzliche IP Adresse (ip addr add) pro VServer zugewiesen und diese
mit einem speziellen Binding an einen virtuellen VServer gebunden. Der
VServer sieht dann nur diese eine IP und kann seine Dienste nur an diese
binden.

Mein eigentliches Problem ist nun folgendes: Habe ich virtuelle VServer
die ihre Adresse aus unterschiedlichen Interfaces beziehen ist der
Zugriff ins "andere" Netzwerk sehr einfach möglich; natürlich, denn
beide Interfaces befinden sich ja am Hostsystem im gleichen System! D.h.
der Zugriff geschieht innerhalb des Kerns selbst (und dazu braucht es
nichtmal eine Netzwerkkarte).

Natürlich ist es für sicherheitskritische Belange ohnehin bedenklich
VServer einzusetzen, aber ich würde nun dennoch eine Möglichkeit suchen,
VServer in unterschiedlichen Subneten betreiben zu können (tu ich
bereits) aber auch den Traffic zwischen ihnen abschotten. Wenn ich das
richtig verstehe bedeutet dies, dass es möglich sein müsste, den lokalen
(und auch ggf. nach extern weitergerouteten oder ankommenden) Traffic
zwischen zwei *lokalen* Interfaces (bzw. deren IP Netzen) zu trennen.
Ist sowas überhaupt mit (z.B. iptables) möglich? Und wenn ja, wie?

Was bisher möglich ist: Wenn ich einem VServer keine IP aus dem Bereich
127.0.0.0/8 zuweise (und damit auch kein lo-Device) dann kann ich von
diesem VServer aus auch nicht 127.0.0.1 pingen.
Andererseits kann ich aber Adresse anderer Interfaces pingen die der
VServer ebenfalls nicht zugewisen hat...

lg
Peter

[1] http://www.linux-vserver.org
[ Auf dieses Posting antworten ]