Реально там надо, понятное дело, сделать не NAT, а прозрачную торификацию, к примеру (хотя гостевая ОС будет думать, что это NAT). Ну, или просто доступ через Tor-прокси, что лучше. Или на VPN весь трафик заворачивать. Зависит от задачи.
P.S. Вполне возможно, что xend вообще не нужен, т.к. он требуется только для автоматизации запуска/остановок гостевых машин. Если вы их всегда запускаете вручную, то оно незачем. Правда, до конца сам ещё не разобрался, так ли это.
— baremetal (22/10/2013 23:29)
— Гость (23/10/2013 08:46)
> Нужно ли ставить на гостя дополнительный программный фаервол?
Лично я бы поставил, если это не сильно затрудняет дело, прописав там только то, что позволено гостевой ОС. Может, это даже защитит от каких-то атак на повышение привелегий внутри гостевой ОС. Один файерволл — одна точка отказа, согласовнный же файерволл в нескольких местах не обойти, не взломав их все.
— Гость (24/10/2013 22:52) Поднять на хосте собственное зеркало-репозиторий для своей виртуальной локальной сети. Впрочем, большого смысла в этом не вижу: вес обновлений — крохи, и большей анонимности такая мудрённая система обновлений тоже, думаю, не даст.
NAT, конечно [см. последние 3 абзаца тут[link1]].
Если что, я вот эти ссылки штудировал:
http://wiki.kandalaya.org/cgi-bin/twiki/view/Main/DebianXenMigrateVirtualBox
https://wiki.debian.org/Xen
https://wiki.debian.org/BridgeNetworkConnections
http://wiki.xen.org/wiki/Host_OS_Install_Considerations
http://wiki.xen.org/wiki/Debian_Guest_Installation_Using_Debian_Installer
http://wiki.xen.org/wiki/XCP_toolstack_on_a_Debian-based_distribution
http://wiki.xen.org/wiki/Category:Debian
http://wiki.xen.org/wiki/Comprehensive_Xen_Debian_Wheezy_PCI_Passthrough_Tutorial
http://wiki.xen.org/wiki/Compiling_Xen_From_Source_on_NetBSD
http://wiki.xen.org/wiki/Xen_Networking
http://wiki.xen.org/wiki/Host_Configuration/Networking
Реально там надо, понятное дело, сделать не NAT, а прозрачную торификацию, к примеру (хотя гостевая ОС будет думать, что это NAT). Ну, или просто доступ через Tor-прокси, что лучше. Или на VPN весь трафик заворачивать. Зависит от задачи.
P.S. Вполне возможно, что xend вообще не нужен, т.к. он требуется только для автоматизации запуска/остановок гостевых машин. Если вы их всегда запускаете вручную, то оно незачем. Правда, до конца сам ещё не разобрался, так ли это.
Лично я бы поставил, если это не сильно затрудняет дело, прописав там только то, что позволено гостевой ОС. Может, это даже защитит от каких-то атак на повышение привелегий внутри гостевой ОС. Один файерволл — одна точка отказа, согласовнный же файерволл в нескольких местах не обойти, не взломав их все.
Как настроить гостя брать обновления не из Сети, а из кэша на хосте, чтобы держать его в актуальном состоянии со всеми обновлениями[link2]?
Поднять на хосте собственное зеркало-репозиторий для своей виртуальной локальной сети. Впрочем, большого смысла в этом не вижу: вес обновлений — крохи, и большей анонимности такая мудрённая система обновлений тоже, думаю, не даст.