Tường lửa ảo hóa theo Hyper-V?

8

Chúng tôi hiện đang xem xét việc cài đặt một phiên bản của pfSense trên máy chủ dựa trên Hyper-V R2 của chúng tôi để hoạt động như một bộ lọc nội dung, cổng bị khóa và tường lửa chung.

Mặc dù việc ảo hóa tường lửa / cổng thông thường .. đôi khi bạn phải làm việc với những gì bạn có! :)

Chúng tôi đã có 2 NIC vật lý .. 1 Đối mặt với internet (WAN) và 1 đối diện với mạng LAN nội bộ của chúng tôi.

Làm thế nào một người sẽ đi về việc đảm bảo tất cả các truy cập internet đều đi qua VM pfSense?

Có cấu hình nào giúp loại bỏ bất kỳ khả năng lưu lượng truy cập nào trong LAN LAN bỏ qua máy ảo pfSense không?

Xin lỗi nếu đó là một câu hỏi ngớ ngẩn, tôi là một nhà phát triển vào ban ngày: D

windows-server-2008  firewall  hyper-v  pfsense 
Daniel Upton
nguồn
1
"Mặc dù việc ảo hóa tường lửa / cổng thông thường" <- Theo ai ??
Chris S
2
Bạn đang rất cần một anh chàng / nhà tư vấn CNTT giỏi. Công cụ này hoàn toàn không khó đối với những người biết họ đang làm gì và đó sẽ là một thế giới đau thương cho một người không biết.
Chris S
Có xu hướng phản ứng đầu tiên tôi đã nhìn thấy trên hầu hết các diễn đàn: P Đây không phải là cho công ty tôi làm việc cho BTW nó một cái gì đó tôi đang thiết lập cho nhà thờ của tôi .. cố gắng mở rộng bộ kỹ năng của tôi: D
Daniel Upton
1
@DanielUpton - Khi tôi bắt đầu đặt tường lửa trong VM, tôi cũng đã xử lý rất nhiều flack cho nó. Một số người (trên Server Fault) đã tỏ ra thô lỗ với tôi về điều đó. Nhưng những gì bạn sẽ tìm thấy là những người biết họ đang làm gì và làm điều đó đúng cách sẽ không đưa ra những nhận xét chung chung "tất cả đều xấu" như vậy :) Những gì bạn có ở đây là hai người dùng rất cao nói "cứ liều thử đi". Tôi muốn lắng nghe họ qua một số diễn đàn ẩn danh.
Mark Henderson

Câu trả lời:

13

Những gì Wesley nói ... Cộng với một sơ đồ:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

Thực tế có thể sử dụng cùng một NIC trên Máy chủ Hyper-V cho cả mạng LAN và mạng LAN, nhưng bạn sẽ cần phải thiết lập vlan và cần một bộ chuyển đổi hỗ trợ chúng. Nó trở nên lộn xộn một cách nhanh chóng và các NIC khá rẻ. Một lưu ý về chip NIC, có được một chip tốt, như Intel, Broadcom, v.v. Tránh xa Realtek, Marvel và hầu hết các chip trên bo mạch trên bo mạch chủ rẻ hơn và DIY. Chúng chẳng là gì ngoài rắc rối cho môi trường ảo hóa.

Ngoài ra, hãy nhớ rằng Hyper-V là một Hypervisor kim loại trần. Nó KHÔNG phải là một dịch vụ chạy trong Windows. Những gì từng là cài đặt Windows trên máy trở thành một VM đặc biệt. Điều này dường như không phải là trường hợp vì lý do đơn giản và khả năng sử dụng, nhưng sẽ phát huy tác dụng khi bạn làm những việc như thiết lập Mạng Hyper-V.

Chris S
nguồn
4
ASCII-fu rất mạnh với cái này ...
Wesley
2
@WesleyDavid Anh bị lừa.
voretaq7
10

Chỉ cần đặt tất cả PC, thiết bị chuyển mạch, bộ định tuyến và cơ sở hạ tầng mạng vvetera để sử dụng máy ảo pfsense làm cổng mặc định của chúng sẽ khiến tất cả lưu lượng truy cập thông qua bộ lọc nội dung.

Chắc chắn, ai đó có thể rút cáp mạng ra khỏi máy chủ và cắm thẳng PC của họ vào mạng WAN của bạn. Bạn có thể đặt một số loại lọc MAC hoặc xác thực 802.1x để ban hành bảo mật cấp cổng. Tất nhiên, ai đó cũng có thể đi dây xung quanh đó. Vấn đề là: Đã đến lúc bạn chỉ đơn thuần dựa vào "Tôi đã có mật khẩu và chìa khóa vào phòng máy chủ còn bạn thì không."

Chỉ cần thiết lập cổng của bạn làm cổng / bộ định tuyến mặc định và không có bất kỳ tùy chọn định tuyến nào khác trên mạng sẽ ngăn chặn tất cả các đầu ra ngoại trừ việc ai đó xông vào tủ máy chủ của bạn và làm hỏng cáp.

Wesley
nguồn
Cảm ơn! Vậy tôi có đặt cổng mặc định của Hypervisor cho VM không? Điều gì xảy ra nếu người dùng trên mạng LAN tự đặt cổng mặc định của họ thành IP của bộ định tuyến phía sau VM (trên mạng LAN)? .. bạn có thể nói điều này hoàn toàn mới với tôi!
Daniel Upton
Có, trong thiết lập này, VM sẽ là cổng của Hyper-V. Tuy nhiên, bây giờ tôi hơi bối rối về thiết kế mạng của bạn. Nếu được thực hiện đúng cách, sẽ không có bộ định tuyến "phía sau" VM. VM hoạt động tốt và thực sự là máy riêng. Trong khi, vâng, máy chủ vật lý sẽ có cáp mạng trên mạng WAN, nó sẽ không phải là bộ định tuyến; Nó sẽ không có các bảng định tuyến thích hợp. Nó sẽ không đáp ứng với những nỗ lực để có được nó để định tuyến các gói.
Wesley
Ah xin lỗi đã làm tôi bối rối trong giây lát, bạn hoàn toàn đúng, cảm ơn câu trả lời của bạn!
Daniel Upton
@DanielUpton Tôi gục đầu trong thất bại trước nghệ thuật ASCII của Chris. Khi bạn tặng dấu kiểm màu xanh lá cây cho anh ấy, hãy đưa cho anh ấy ... đây là lần duy nhất của tôi. chết đột ngột
Wesley
@WesleyDavid Xin lỗi, tôi không có ý định đánh cắp sấm sét của bạn, đặc biệt là vì bạn đã có câu trả lời đúng (quá).
Chris S
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.