Wir erwägen derzeit, eine Instanz von pfSense auf unserem Hyper-V R2-basierten Server zu installieren, um als Inhaltsfilter, Captive-Portal und allgemeine Firewall zu fungieren.
Obwohl es normalerweise eine schlechte Praxis ist, eine Firewall / ein Gateway zu virtualisieren, muss man manchmal mit dem arbeiten, was man hat! :) :)
Wir haben 2 physische Netzwerkkarten. 1 mit Blick auf das Internet (WAN) und 1 mit Blick auf unser internes LAN.
Wie würde man sicherstellen, dass der gesamte Internetzugang über die pfSense-VM erfolgt?
Gibt es eine Konfiguration, die verhindert, dass Datenverkehr auf der LAN-Netzwerkkarte unter Umgehung der pfSense-VM eingeht?
Entschuldigung, wenn es eine dumme Frage ist, ich bin tagsüber Entwickler: D.
windows-server-2008
firewall
hyper-v
pfsense
Daniel Upton
quelle
quelle
Antworten:
Was Wesley gesagt hat ... Plus ein Diagramm:
Es ist tatsächlich möglich, dieselbe Netzwerkkarte auf dem Hyper-V-Host für WAN und LAN zu verwenden. Sie müssen jedoch vLANs einrichten und einen Switch benötigen, der diese unterstützt. Es wird schnell chaotisch und NICs sind ziemlich billig. Ein Hinweis zu NIC-Chips, erhalten Sie einen guten wie Intel, Broadcom usw. Halten Sie sich von Realtek, Marvel und den meisten On-Board-Chips auf billigeren und DIY-Motherboards fern. Sie sind nichts als Ärger für virtualisierte Umgebungen.
Denken Sie auch daran, dass Hyper-V ein Bare-Metal-Hypervisor ist. Es ist KEIN Dienst, der unter Windows ausgeführt wird. Was früher die Windows-Installation auf dem Computer war, wird zu einer speziellen VM. Dies scheint aus Gründen der Einfachheit und Benutzerfreundlichkeit nicht der Fall zu sein, kommt jedoch zum Tragen, wenn Sie beispielsweise das Hyper-V-Netzwerk einrichten.
quelle
Wenn Sie einfach alle PCs, Switches, Router und andere Netzwerkinfrastrukturen so einstellen, dass die virtuelle pfsense-Maschine als Standard-Gateway verwendet wird, fließt der gesamte Datenverkehr durch den Inhaltsfilter.
Sicherlich könnte jemand Netzwerkkabel aus dem Server ziehen und seinen PC direkt an Ihr WAN anschließen. Sie können eine Art MAC-Filterung oder 802.1x-Authentifizierung festlegen, um die Sicherheit auf Portebene zu gewährleisten. Natürlich könnte jemand das auch einfach verkabeln. Der Punkt ist: Es kommt eine Zeit, in der Sie sich lediglich auf "Ich habe die Passwörter und die Schlüssel für den Serverraum und Sie nicht" verlassen.
Wenn Sie Ihr Gateway einfach als Standard-Gateway / Router einrichten und keine anderen Routing-Optionen im Netzwerk haben, werden alle Steckdosen verhindert, mit Ausnahme von Personen, die Ihren Serverschrank stürmen und mit Kabeln herumfummeln.
quelle