Firewall tervirtualisasi di bawah Hyper-V?

8

Kami saat ini sedang mempertimbangkan untuk menginstal instance pfSense di server berbasis Hyper-V R2 kami untuk bertindak sebagai filter konten, portal captive, dan firewall umum.

Meskipun biasanya merupakan praktik yang buruk untuk memvirtualisasikan firewall / gateway .. terkadang Anda harus bekerja dengan apa yang Anda miliki! :)

Kami memiliki 2 NIC fisik. 1 Menghadapi internet (WAN) dan 1 menghadapi LAN internal kami.

Bagaimana cara memastikan semua akses internet melewati pfSense VM?

Apakah ada konfigurasi yang menghilangkan kemungkinan lalu lintas masuk pada LAN NIC melewati VM pfSense?

Maaf jika ini pertanyaan konyol, saya seorang pengembang di siang hari: D

Daniel Upton
sumber
1
"Meskipun biasanya praktik yang buruk untuk virtualisasi firewall / gateway" <- Menurut siapa ??
Chris S
2
Anda membutuhkan orang IT / konsultan yang baik. Hal ini sama sekali tidak sulit bagi seseorang yang tahu apa yang mereka lakukan, dan itu akan menjadi dunia yang menyakitkan bagi seseorang yang tidak.
Chris S
Cenderung menjadi respons pertama yang saya lihat di sebagian besar forum: P Ini bukan untuk perusahaan tempat saya bekerja untuk BTW itu adalah sesuatu yang saya setel untuk gereja saya .. mencoba untuk memperluas keahlian saya: D
Daniel Upton
1
@DanielUpton - Ketika saya mulai meletakkan firewall di dalam VM, saya mencuri banyak kekurangan juga. Beberapa orang (pada Kesalahan Server) benar-benar kasar kepada saya tentang hal itu. Tapi yang akan Anda temukan adalah orang-orang yang tahu apa yang mereka lakukan dan melakukannya dengan benar tidak akan membuat komentar "semua adalah buruk" seperti itu :) :) Apa yang Anda miliki di sini adalah dua pengguna yang sangat tinggi mengatakan "pergi untuk itu". Saya akan mendengarkan mereka dari beberapa orang forum anonim.
Mark Henderson

Jawaban:

13

Apa yang dikatakan Wesley ... Ditambah diagram:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

Sebenarnya mungkin untuk menggunakan NIC yang sama pada Host Hyper-V untuk WAN dan LAN, tetapi Anda harus mengatur vLAN dan memerlukan sakelar yang mendukungnya. Menjadi berantakan dengan cepat dan NIC cukup murah. Catatan tentang chip NIC, dapatkan yang baik, seperti Intel, Broadcom, dll. Jauhi Realtek, Marvel, dan sebagian besar chip on-board pada motherboard yang lebih murah dan DIY. Mereka hanyalah masalah bagi lingkungan tervirtualisasi.

Juga, perlu diingat bahwa Hyper-V adalah Hypervisor bare-metal. Ini BUKAN layanan yang berjalan di Windows. Apa yang dulunya adalah instalasi Windows pada mesin menjadi VM khusus. Tampaknya ini bukan karena alasan kesederhanaan dan kegunaan, tetapi mulai berlaku saat Anda melakukan hal-hal seperti mengatur Hyper-V Networking.

Chris S
sumber
4
ASCII-fu kuat dengan yang ini ...
Wesley
2
@WesleyDavid He Cheated.
voretaq7
10

Cukup dengan mengatur semua PC, switch, router, dan sebagainya, infrastruktur jaringan untuk menggunakan mesin virtual pfsense karena gateway default mereka akan membuat semua lalu lintas mengalir melalui filter konten.

Tentu saja, seseorang dapat mencabut kabel jaringan dari server dan menghubungkan PC mereka langsung ke WAN Anda. Anda dapat mengatur semacam penyaringan MAC atau otentikasi 802.1x untuk memberlakukan keamanan tingkat port. Tentu saja, seseorang juga bisa melakukan hal itu. Intinya adalah: Ada saatnya ketika Anda hanya mengandalkan "Saya punya kata sandi dan kunci ke ruang server dan Anda tidak."

Cukup mengatur gateway Anda sebagai gateway / router default dan tidak memiliki opsi perutean lain di jaringan mencegah semua outlet kecuali seseorang menyerbu lemari server Anda dan bermain-main dengan kabel.

Wesley
sumber
Terima kasih! Jadi apakah saya mengatur gateway default Hypervisor ke VM juga? bagaimana jika pengguna di LAN secara manual menetapkan gateway default mereka ke IP router di belakang VM (pada WAN)? .. Anda mungkin bisa mengatakan ini semua baru bagi saya!
Daniel Upton
Ya, dalam pengaturan ini VM akan menjadi gateway Hyper-V. Namun, saya sedikit bingung tentang desain jaringan Anda sekarang. Jika dilakukan dengan benar, tidak akan ada router "di belakang" VM. VM baik dan benar-benar mesin itu sendiri. Sementara, ya, host fisik akan memiliki kabel jaringan pada WAN, itu tidak akan menjadi router; tidak akan memiliki tabel routing yang tepat. Itu tidak akan menanggapi upaya mendapatkan paket rute.
Wesley
Ah maaf tadi membuat bingung diriku sendiri, benar sekali, terima kasih atas jawabanmu!
Daniel Upton
@DanielUpton Aku menundukkan kepala untuk mengalahkan karya seni ASCII Chris. Ketika Anda memberikan tanda centang hijau kepadanya, berikan ini ... satu-satunya suara saya. meninggal secara dramatis
Wesley
@WesleyDavid Permintaan maaf saya, saya tidak bermaksud mencuri guntur Anda, terutama karena Anda punya jawaban yang tepat (juga).
Chris S