Hyper-Vでの仮想化ファイアウォール?
現在、コンテンツフィルター、キャプティブポータル、および一般的なファイアウォールとして機能するpfSenseのインスタンスをHyper-VR2ベースのサーバーにインストールすることを検討しています。
ファイアウォール/ゲートウェイを仮想化することは通常悪い習慣ですが..時々あなたはあなたが持っているもので作業しなければなりません! :)
2つの物理NICがあります。1つはインターネット(WAN)に面し、もう1つは内部LANに面しています。
すべてのインターネットアクセスがpfSenseVMを通過することを確認するにはどうすればよいでしょうか。
トラフィックがLANに着信する可能性を排除する構成はありますかNIC pfSense VMをバイパスしていますか?
ばかげた質問なら申し訳ありませんが、私は毎日開発者です:D
ウェズリーが言ったこと ...プラス図:
+----------------------------------+
| +----------+ +---------+ | +----+ +----+ +----+
| | pfSense | | Host OS | | | | | | | |
| | | | | | | PC | | PC | | PC |
| +----------+ +---------+ | | | | | | |
| ^ ^ ^ | +----+ +----+ +----+
| | +------+ | | ^ ^ ^
| | | | | | | |
| V V V | V V V
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
|Internet|<-->|WAN|<->|WAN NET| |LAN NET|<->|LAN|<----+| LAN SWITCH |
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
| Hyper-V Host |
+----------------------------------+
実際には、Hyper-VホストでNICとLANの両方に同じWANを使用することは可能ですが、vLANをセットアップし、スイッチが必要になりますそれらをサポートします。乱雑に速くなり、NICはかなり安価です。NIC=チップについては、Intel、Broadcomなどの良いチップを入手してください。Realtek、Marvel、その他安価なDIYマザーボード上のオンボードチップの数。仮想化環境にとっては問題に他なりません。
また、Hyper-Vはベアメタルハイパーバイザーであることに注意してください。 Windowsで実行されるサービスではありません。以前はマシンにWindowsをインストールしていたものが、特別なVMになります。これは、単純さと使いやすさの理由からは当てはまらないように見えますが、Hyper-Vネットワークのセットアップなどを行うときに役立ちます。
Pfsense仮想マシンをデフォルトゲートウェイとして使用するようにすべてのPC、スイッチ、ルーターなどのネットワークインフラストラクチャを設定するだけで、すべてのトラフィックがコンテンツフィルターを通過します。
確かに、誰かがネットワークケーブルをサーバーから引き抜いて、PCをWANに直接接続する可能性があります。ポートレベルのセキュリティを適用するために、ある種のMACフィルタリングまたは802.1x認証を設定できます。もちろん、誰かがそれを回避することもできます。重要なのは、「サーバールームへのパスワードとキーを持っているが、持っていない」だけに頼っている時が来るということです。
ゲートウェイをデフォルトゲートウェイ/ルーターとして設定するだけで、ネットワーク上に他のルーティングオプションがないため、サーバークローゼットを襲ったり、ケーブルでフロブしたりする人を除いて、すべてのコンセントが防止されます。