В настоящее время мы рассматриваем возможность установки экземпляра pfSense на нашем сервере на базе Hyper-V R2, который будет действовать в качестве фильтра содержимого, адаптивного портала и общего межсетевого экрана.
Хотя обычно виртуализировать брандмауэр / шлюз - плохая практика ... иногда приходится работать с тем, что у вас есть! :)
У нас есть 2 физических сетевых карты. 1 обращен к Интернету (WAN), а 1 - к нашей внутренней LAN.
Как сделать так, чтобы весь доступ в Интернет проходил через виртуальную машину pfSense?
Есть ли конфигурация, которая исключает любую возможность трафика, поступающего на сетевой адаптер LAN, в обход виртуальной машины pfSense?
Извините, если вопрос дурацкий, днем я разработчик: D
Что сказал Уэсли... Плюс диаграмма:
+----------------------------------+
| +----------+ +---------+ | +----+ +----+ +----+
| | pfSense | | Host OS | | | | | | | |
| | | | | | | PC | | PC | | PC |
| +----------+ +---------+ | | | | | | |
| ^ ^ ^ | +----+ +----+ +----+
| | +------+ | | ^ ^ ^
| | | | | | | |
| V V V | V V V
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
|Internet|<-->|WAN|<->|WAN NET| |LAN NET|<->|LAN|<----+| LAN SWITCH |
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
| Hyper-V Host |
+----------------------------------+
На самом деле можно использовать одну и ту же сетевую карту на хосте Hyper-V как для WAN, так и для LAN, но вам потребуется настроить vLAN и потребуется коммутатор, который их поддерживает. Он быстро становится беспорядком, а сетевые карты довольно дешевы. Обратите внимание на чипы NIC, приобретите хороший, например Intel, Broadcom и т. Д. Держитесь подальше от Realtek, Marvel и большинства встроенных чипов на более дешевых материнских платах и платах, сделанных своими руками. Это не что иное, как проблемы для виртуализированных сред.
Также имейте в виду, что Hyper-V - это гипервизор без оболочки. Это НЕ служба, работающая в Windows. То, что раньше было установкой Windows на машине, становится особой виртуальной машиной. Это не будет выглядеть так из соображений простоты и удобства использования, но вступает в игру, когда вы делаете такие вещи, как настройка сети Hyper-V.
Простая настройка всех ПК, коммутаторов, маршрутизаторов и т. Д. Сетевой инфраструктуры на использование виртуальной машины pfsense в качестве шлюза по умолчанию, и весь трафик будет проходить через фильтр содержимого.
Конечно, кто-то может выдернуть сетевые кабели из сервера и подключить свой компьютер прямо к вашей глобальной сети. Вы можете установить какую-то фильтрацию MAC-адресов или аутентификацию 802.1x, чтобы активировать безопасность на уровне порта. Конечно, кто-то может просто обойти это. Дело в том, что наступает время, когда вы просто полагаетесь на «У меня есть пароли и ключи от серверной, а у вас их нет».
Простая настройка шлюза в качестве шлюза / маршрутизатора по умолчанию и отсутствие каких-либо других параметров маршрутизации в сети предотвращает все выходы, за исключением того, что кто-то штурмует ваш серверный шкаф и не тянет кабели.