Kami saat ini sedang mempertimbangkan untuk menginstal instance pfSense di server berbasis Hyper-V R2 kami untuk bertindak sebagai filter konten, portal captive, dan firewall umum.
Meskipun biasanya merupakan praktik yang buruk untuk memvirtualisasikan firewall / gateway .. terkadang Anda harus bekerja dengan apa yang Anda miliki! :)
Kami memiliki 2 NIC fisik. 1 Menghadapi internet (WAN) dan 1 menghadapi LAN internal kami.
Bagaimana cara memastikan semua akses internet melewati pfSense VM?
Apakah ada konfigurasi yang menghilangkan kemungkinan lalu lintas masuk pada LAN NIC melewati VM pfSense?
Maaf jika ini pertanyaan konyol, saya seorang pengembang di siang hari: D
windows-server-2008
firewall
hyper-v
pfsense
Daniel Upton
sumber
sumber
Jawaban:
Apa yang dikatakan Wesley ... Ditambah diagram:
Sebenarnya mungkin untuk menggunakan NIC yang sama pada Host Hyper-V untuk WAN dan LAN, tetapi Anda harus mengatur vLAN dan memerlukan sakelar yang mendukungnya. Menjadi berantakan dengan cepat dan NIC cukup murah. Catatan tentang chip NIC, dapatkan yang baik, seperti Intel, Broadcom, dll. Jauhi Realtek, Marvel, dan sebagian besar chip on-board pada motherboard yang lebih murah dan DIY. Mereka hanyalah masalah bagi lingkungan tervirtualisasi.
Juga, perlu diingat bahwa Hyper-V adalah Hypervisor bare-metal. Ini BUKAN layanan yang berjalan di Windows. Apa yang dulunya adalah instalasi Windows pada mesin menjadi VM khusus. Tampaknya ini bukan karena alasan kesederhanaan dan kegunaan, tetapi mulai berlaku saat Anda melakukan hal-hal seperti mengatur Hyper-V Networking.
sumber
Cukup dengan mengatur semua PC, switch, router, dan sebagainya, infrastruktur jaringan untuk menggunakan mesin virtual pfsense karena gateway default mereka akan membuat semua lalu lintas mengalir melalui filter konten.
Tentu saja, seseorang dapat mencabut kabel jaringan dari server dan menghubungkan PC mereka langsung ke WAN Anda. Anda dapat mengatur semacam penyaringan MAC atau otentikasi 802.1x untuk memberlakukan keamanan tingkat port. Tentu saja, seseorang juga bisa melakukan hal itu. Intinya adalah: Ada saatnya ketika Anda hanya mengandalkan "Saya punya kata sandi dan kunci ke ruang server dan Anda tidak."
Cukup mengatur gateway Anda sebagai gateway / router default dan tidak memiliki opsi perutean lain di jaringan mencegah semua outlet kecuali seseorang menyerbu lemari server Anda dan bermain-main dengan kabel.
sumber