Firewall virtualizado no Hyper-V?

Question

Firewall virtualizado no Hyper-V?

#1 resposta do (13 votos)
#2 resposta do (10 votos)

7

No momento, estamos pensando em instalar uma instância do pfSense em nosso servidor baseado em Hyper-V R2 para atuar como um filtro de conteúdo, portal cativo e firewall geral.

Embora geralmente seja uma prática ruim virtualizar um firewall / gateway ... às vezes você precisa trabalhar com o que você tem! :)

Temos 2 NICs físicas ... 1 Voltada para a Internet (WAN) e 1 voltada para nossa LAN interna.

Como alguém faria para garantir que todo o acesso à Internet passasse pela VM do pfSense?

Existe uma configuração que elimina qualquer possibilidade de tráfego no NIC da LAN, ignorando a VM do pfSense?

Desculpe se é uma pergunta boba, sou um desenvolvedor por dia: D

firewall hyper-v windows-server-2008 pfsense

por Daniel Upton 17.04.2012 / 21:55

2 respostas

10

A simples configuração de todos os PCs, switches, roteadores e etc. para usar a máquina virtual pfsense como gateway padrão fará com que todo o tráfego flua pelo filtro de conteúdo.

Certamente, alguém pode puxar cabos de rede para fora do servidor e conectar seu PC diretamente na sua WAN. Você pode definir algum tipo de filtragem MAC ou autenticação 802.1x para ativar a segurança em nível de porta. Claro, alguém poderia apenas ligar isso também. O ponto é: Chega um momento em que você está simplesmente confiando em "Eu tenho as senhas e as chaves da sala do servidor e você não tem."

A simples configuração do seu gateway como gateway / roteador padrão e a falta de outras opções de roteamento na rede impedem todas as tomadas, com exceção de alguém que esteja atacando o seu servidor e causando problemas com cabos.

por 17.04.2012 / 22:00

Tags firewall hyper-v windows-server-2008 pfsense

Achado não-recursivo no linux Arquivo sudoers centralizado do sudo?

score 13 · Accepted Answer

O que Wesley disse ... Mais um diagrama:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

Na verdade, é possível usar a mesma NIC no host do Hyper-V para WAN e LAN, mas será necessário configurar vLANs e precisar de um comutador que as suporte. Ele fica confuso rapidamente e os NICs são relativamente baratos. Uma nota sobre chips NIC, pegue um bom, como Intel, Broadcom, etc. Fique longe da Realtek, Marvel e da maioria dos chips on-board em placas-mãe mais baratas e DIY. Eles não são nada além de problemas para ambientes virtualizados.

Além disso, lembre-se de que o Hyper-V é um hipervisor bare-metal. NÃO é um serviço que é executado no Windows. O que costumava ser a instalação do Windows na máquina se torna uma VM especial. Isso não parece ser o caso por razões de simplicidade e facilidade de uso, mas entra em cena quando você faz coisas como configurar o Hyper-V Networking.