Виртуализированный брандмауэр под Hyper-V?

В настоящее время мы рассматриваем возможность установки экземпляра pfSense на нашем сервере на базе Hyper-V R2, который будет выполнять роль фильтра содержимого, портала портала и общего брандмауэра.

Хотя обычно виртуализация брандмауэра / шлюза плохая практика .. иногда приходится работать с тем, что у тебя есть! :)

У нас есть 2 физических сетевых адаптера. 1 выход в Интернет (WAN) и 1 в нашу внутреннюю локальную сеть.

Как можно обеспечить, чтобы весь доступ в Интернет проходил через виртуальную машину pfSense?

Существует ли конфигурация, которая исключает любую возможность трафика, поступающего на сетевой адаптер локальной сети, минуя виртуальную машину pfSense?

Извините, если это глупый вопрос, я разработчик днем: D

— Даниэль Аптон
источник

«Хотя обычно виртуализировать брандмауэр / шлюз - плохая практика» <- По мнению кого ??

— Крис С

Вам очень нужен хороший ИТ-парень / консультант. Этот материал совсем не сложен для тех, кто знает, что они делают, и для тех, кто этого не делает, это станет болезненным миром.

— Крис С

Как правило, это первый ответ, который я видел на большинстве форумов: P Это не для компании, в которой я работаю для BTW, это то, что я настраиваю для своей церкви ... пытаюсь расширить свой набор навыков: D

— Даниэль Аптон

@DanielUpton - Когда я начал размещать брандмауэры внутри виртуальных машин, я тоже испытал на себе много шума. Некоторые люди (из-за ошибки сервера) были откровенны со мной по этому поводу. Но вы обнаружите, что люди, которые знают, что они делают и делают это правильно, не будут делать такие общие замечания, как «все плохо» :) Что вы видите здесь, это два очень высокопопулярных пользователя, которые говорят "Действуй". Я бы послушал их на каком-то анонимном форуме.

— Марк Хендерсон

Ответы:

Что сказал Уэсли ... Плюс диаграмма:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

На самом деле можно использовать один и тот же сетевой адаптер на хосте Hyper-V как для WAN, так и для локальной сети, но вам потребуется настроить виртуальные локальные сети и нужен коммутатор, который их поддерживает. Это быстро становится грязным, а сетевые карты довольно дешевы. Обратите внимание на чипы NIC, получите хорошую, например, Intel, Broadcom и т. Д. Держитесь подальше от Realtek, Marvel и большинства встроенных чипов на более дешевых материнских платах. Это не что иное, как проблема для виртуальных сред.

Кроме того, имейте в виду, что Hyper-V - это гипервизор с «голым металлом». Это НЕ служба, которая работает в Windows. То, что раньше было установкой Windows на машине, становится специальной виртуальной машиной. Это не будет иметь место по причинам простоты и удобства использования, но вступает в игру, когда вы делаете такие вещи, как настройка сети Hyper-V.

— Крис С
источник

ASCII-фу силен с этим ...

— Уэсли

@WesleyDavid Он обманул.

— voretaq7

Простая настройка всех компьютеров, коммутаторов, маршрутизаторов и сетевой инфраструктуры etcetera для использования виртуальной машины pfsense в качестве шлюза по умолчанию будет пропускать весь трафик через фильтр содержимого.

Конечно, кто-то может выдернуть сетевые кабели из сервера и подключить свой ПК прямо к вашей глобальной сети. Вы можете установить некоторую фильтрацию MAC или аутентификацию 802.1x, чтобы включить защиту на уровне порта. Конечно, кто-то может просто подключиться к этому. Дело в том, что приходит время, когда вы просто полагаетесь на то, что «у меня есть пароли и ключи от серверной комнаты, а у вас нет».

Простая настройка вашего шлюза в качестве шлюза / маршрутизатора по умолчанию и отсутствие других параметров маршрутизации в сети предотвращает все розетки, за исключением того, что кто-то штурмует ваш серверный шкаф и закидывает кабелями.

— Wesley
источник

Спасибо! Так я тоже должен установить шлюз по умолчанию Гипервизора для виртуальной машины? Что делать, если пользователь в локальной сети вручную устанавливает свой шлюз по умолчанию на IP-адрес маршрутизатора за виртуальной машиной (в глобальной сети)? .. вы, наверное, можете сказать, что это все новое для меня!

— Даниэль Аптон

Да, в этой настройке виртуальная машина будет шлюзом Hyper-V. Тем не менее, теперь я немного запутался в дизайне вашей сети. Если все сделано правильно, не будет маршрутизатора «позади» виртуальной машины. ВМ хорошо и действительно это собственная машина. Хотя да, физический хост будет иметь сетевой кабель в глобальной сети, он не будет маршрутизатором; у него не будет надлежащих таблиц маршрутизации. Он не будет отвечать на попытки заставить его маршрутизировать пакеты.

— Уэсли

Ах, извините, я на какое-то время запуталась, ваше абсолютно верно, спасибо за ваш ответ!

— Даниэль Аптон

@DanielUpton Я повесил голову в поражении искусству Криса ASCII. Когда вы дадите ему зеленую галочку, дайте ему это ... мое единственное возражение. резко умирает

— Уэсли

@WesleyDavid Мои извинения, я не хотел красть твой гром, тем более что у тебя правильный ответ (тоже).

— Крис С