Firewall virtualizzato in Hyper-V?

8

Attualmente stiamo valutando l'installazione di un'istanza di pfSense sul nostro server basato su Hyper-V R2 per fungere da filtro dei contenuti, portale captive e firewall generale.

Anche se di solito è una cattiva pratica virtualizzare un firewall / gateway .. a volte devi lavorare con quello che hai! :)

Abbiamo 2 NIC fisiche .. 1 di fronte a Internet (WAN) e 1 di fronte alla nostra LAN interna.

Come si potrebbe fare per assicurarsi che tutto l'accesso a Internet passi attraverso la VM pfSense?

Esiste una configurazione che elimina la possibilità che il traffico arrivi sulla scheda di rete LAN bypassando la VM pfSense?

Scusate se è una domanda sciocca, sono uno sviluppatore di giorno: D

windows-server-2008  firewall  hyper-v  pfsense 
Daniel Upton
fonte
1
"Anche se di solito è una cattiva pratica virtualizzare un firewall / gateway" <- Secondo chi ??
Chris S,
2
Hai un disperato bisogno di un bravo ragazzo / consulente IT. Questa roba non è affatto difficile per qualcuno che sa cosa stanno facendo, e sarà un mondo di dolore per qualcuno che non lo fa.
Chris S,
Tende ad essere la prima risposta che ho visto nella maggior parte dei forum: P Questo non è per la compagnia che lavoro per BTW, è qualcosa che sto organizzando per la mia chiesa .. cercando di espandere il mio set di abilità: D
Daniel Upton
1
@DanielUpton - Quando ho iniziato a installare i firewall all'interno delle macchine virtuali, ho sfruttato molto anche questo. Alcune persone (su Server Fault) erano decisamente maleducate con me a riguardo. Ma quello che scoprirai è che le persone che sanno cosa stanno facendo e lo fanno correttamente non faranno commenti generali "tutto è male" come quello :) Quello che hai qui sono due utenti di altissima reputazione che dicono "Fallo". Li ascolterei su alcune persone del forum anonime.
Mark Henderson,

Risposte:

13

Cosa ha detto Wesley ... Più uno schema:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

In realtà è possibile utilizzare la stessa NIC sull'host Hyper-V sia per WAN che per LAN, ma è necessario configurare le vLAN e disporre di uno switch che le supporti. Diventa disordinato rapidamente e le schede di rete sono abbastanza economiche. Una nota sui chip NIC, prendine una buona, come Intel, Broadcom, ecc. Stai lontano da Realtek, Marvel e la maggior parte dei chip di bordo su schede madri più economiche e fai-da-te. Non sono altro che problemi per gli ambienti virtualizzati.

Inoltre, tieni presente che Hyper-V è un hypervisor bare metal. NON è un servizio che gira su Windows. Quella che era l'installazione di Windows sul computer diventa una macchina virtuale speciale. Questo non sembrerà essere il caso per ragioni di semplicità e usabilità, ma entrerà in gioco quando si eseguono operazioni come l'installazione di Hyper-V Networking.

Chris S
fonte
4
L'ASCII-fu è forte con questo ...
Wesley,
2
@WesleyDavid ha tradito.
voretaq7,
10

Semplicemente impostando tutti i PC, gli switch, i router e così via l'infrastruttura di rete per utilizzare la macchina virtuale pfsense poiché il loro gateway predefinito farà fluire tutto il traffico attraverso il filtro contenuto.

Certamente, qualcuno potrebbe strappare i cavi di rete dal server e collegare il proprio PC direttamente alla WAN. È possibile impostare un tipo di filtro MAC o autenticazione 802.1x per attuare la sicurezza a livello di porta. Certo, qualcuno potrebbe anche collegarlo. Il punto è: arriva un momento in cui fai semplicemente affidamento su "Ho le password e le chiavi per la sala server e tu no."

Configurare semplicemente il gateway come gateway / router predefinito e non avere altre opzioni di routing sulla rete impedisce tutte le prese, ad eccezione di qualcuno che fa irruzione nell'armadio del server e si accarezza con i cavi.

Wesley
fonte
Grazie! Quindi imposto anche il gateway predefinito di Hypervisor sulla VM? cosa succede se un utente sulla LAN imposta manualmente il proprio gateway predefinito sull'IP di un router dietro la VM (sulla WAN)? .. probabilmente puoi dire che è tutto nuovo per me!
Daniel Upton,
Sì, in questa configurazione la VM sarà il gateway di Hyper-V. Tuttavia, sono sempre leggermente confuso riguardo al design della tua rete ora. Se fatto correttamente, non ci sarà alcun router "dietro" la VM. La VM funziona bene e veramente è la propria macchina. Mentre, sì, l'host fisico avrà un cavo di rete sulla WAN, non sarà un router; non avrà le tabelle di routing appropriate. Non risponderà ai tentativi di ottenerlo per instradare i pacchetti.
Wesley,
Ah scusa mi sono confuso per un momento quindi, hai assolutamente ragione, grazie per la tua risposta!
Daniel Upton,
@DanielUpton Pendo la testa in segno di sconfitta per l'arte ASCII di Chris. Quando gli dai il segno di spunta verde, dagli questo ... il mio unico voto. muore drammaticamente
Wesley il
@WesleyDavid Le mie scuse, non intendevo rubare il tuo tuono, soprattutto perché hai la risposta giusta (anche).
Chris S,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.