Hyper-V에서 가상화 된 방화벽?

8

현재 컨텐츠 필터, 캡 티브 포털 및 일반 방화벽 역할을하기 위해 Hyper-V R2 기반 서버에 pfSense 인스턴스를 설치하는 것을 고려하고 있습니다.

방화벽 / 게이트웨이를 가상화하는 것은 일반적으로 나쁜 습관이지만. 때때로 당신은 가지고있는 것을 가지고 작업해야합니다! :)

2 개의 물리적 NIC가 있습니다. 1 인터넷 (WAN)을 향하고 1은 내부 LAN을 향합니다.

모든 인터넷 액세스가 pfSense VM을 통과하도록하려면 어떻게해야합니까?

pfSense VM을 우회하여 LAN NIC에 들어오는 트래픽을 제거하는 구성이 있습니까?

바보 같은 질문이라면 미안하지만 나는 개발자입니다 : D

windows-server-2008  firewall  hyper-v  pfsense 
다니엘 업튼
소스
1
"방화벽 / 게이트웨이를 가상화하는 것은 일반적으로 나쁜 습관이지만"<-who에 따르면 ??
Chris S
2
훌륭한 IT 담당자 / 컨설턴트가 필요합니다. 이 작업은 자신이하고있는 일을 아는 사람에게는 전혀 어렵지 않으며, 그렇지 않은 사람에게는 상처를주는 세계가 될 것입니다.
Chris S
내가 가장 포럼에서 본 첫 번째 응답하는 경향이 : D : P이 내 기술 세트 확장하려고 ... 내가 내 교회를 위해 설정하고있어 BTW 그것의 무언가를 위해 일하는 회사를 위해 아닙니다
다니엘 업튼
1
@DanielUpton-VM에 방화벽을 배치하기 시작했을 때 나도 많은 단점을 극복했습니다. 일부 사람들 (서버 결함)은 그것에 대해 매우 무례했습니다. 그러나 당신이 찾을 수있는 것은 자신이하는 일을 알고 올바르게 수행하는 사람들이 일반적인 손을 흔들며 "모두 나쁜 것"이라고 말하지는 않는다는 것입니다. "가십시오". 나는 익명의 포럼 사람들의 말을 들었습니다.
Mark Henderson

답변:

13

웨슬리가 말한 것 ... 그리고 다이어그램 :

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

실제로 WAN과 LAN 모두에 대해 Hyper-V 호스트에서 동일한 NIC를 사용할 수 있지만 vLAN을 설정하고이를 지원하는 스위치가 필요합니다. 빨리 지저분 해지고 NIC가 상당히 저렴합니다. NIC 칩에 대한 참고 사항, Intel, Broadcom 등과 같은 좋은 칩 하나를 얻으십시오. Realtek, Marvel 및 대부분의 온보드 칩은 저렴하고 DIY 마더 보드에 가까이 두지 마십시오. 가상화 된 환경에는 문제가되지 않습니다.

또한 Hyper-V는 베어 메탈 하이퍼 바이저입니다. Windows에서 실행되는 서비스가 아닙니다. 컴퓨터에 Windows를 설치했던 것은 특별한 VM이됩니다. 이는 단순성과 유용성으로 인해 나타나지는 않지만 Hyper-V 네트워킹 설정과 같은 작업을 수행 할 때 작동합니다.

크리스 S
소스
4
ASCII-fu는 이것으로 강력합니다 ...
Wesley
2
@WesleyDavid 그는 바람을 피웠다.
voretaq7
10

pfsense 가상 머신을 기본 게이트웨이로 사용하도록 모든 PC, 스위치, 라우터 및 기타 네트워크 인프라를 설정하기 만하면 모든 트래픽이 컨텐츠 필터를 통과하게됩니다.

확실히 누군가 누군가 네트워크 케이블을 서버에서 빼내어 PC를 WAN에 바로 꽂을 수 있습니다. 포트 수준 보안을 적용하기 위해 일종의 MAC 필터링 또는 802.1x 인증을 설정할 수 있습니다. 물론 누군가가 그 주위를 둘러 볼 수도 있습니다. 요점은 : "비밀번호와 열쇠를 서버 룸에 가지고 있지만 가지고 있지 않다"는 것에 의지 할 때가왔다.

게이트웨이를 기본 게이트웨이 / 라우터로 설정하고 네트워크에 다른 라우팅 옵션이없는 경우 누군가 서버 클로닝을 치고 케이블이 끊기는 것을 제외하고 모든 콘센트를 막을 수 있습니다.

웨슬리
소스
감사! 하이퍼 바이저의 기본 게이트웨이도 VM으로 설정합니까? LAN 사용자가 수동으로 기본 게이트웨이를 VM 뒤에있는 라우터의 IP (WAN)로 수동 설정하면 어떻게됩니까? .. 당신은 아마 이것이 나에게 새로운 것이라고 말할 수 있습니다!
Daniel Upton
예,이 설정에서 VM은 Hyper-V의 게이트웨이가됩니다. 그러나 지금은 네트워크 디자인에 대해 약간 혼란스러워했습니다. 올바르게 수행하면 VM 뒤에 "라우터"가 없습니다. VM은 훌륭하고 진정으로 자체 시스템입니다. 그렇습니다. 실제 호스트는 WAN에 네트워크 케이블을 가지고 있지만 라우터는 아닙니다. 적절한 라우팅 테이블이 없습니다. 패킷을 라우팅하려는 시도에는 응답하지 않습니다.
웨슬리
아 죄송합니다. 잠시 동안 저 자신을 혼란스럽게하셨습니다. 정답입니다. 답변 주셔서 감사합니다!
Daniel Upton
@DanielUpton Chris의 ASCII 예술에 패배로 머리를 걸었습니다. 초록색 체크 표시를했을 때, 그에게 내 유일한 공감대를주십시오. 극적으로 사망
웨슬리
@WesleyDavid 사과드립니다. 특히 올바른 답변을 얻었으므로 천둥을 훔치려는 의도는 없었습니다.
Chris S
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.