У меня здесь виртуализированная инфраструктура с разделенными сетями (некоторые физически, некоторые просто VLAN) для трафика iSCSI, трафика управления VMware, производственного трафика и т. Д.
Разумеется, рекомендации заключаются в том, чтобы не разрешать доступ из локальной сети в сеть iSCSI, например, по очевидным причинам безопасности и производительности, а также между DMZ / LAN и т. Д.
Проблема в том, что на самом деле некоторые службы делать время от времени требуется доступ в сети:
Вместо того, чтобы дико открывать всю сеть, я хотел бы разместить брандмауэр, охватывающий эти сети, чтобы я мог разрешить только необходимый доступ
Например:
Может ли кто-нибудь порекомендовать бесплатный брандмауэр, который позволит делать подобные вещи без излишней низкоуровневой обработки файлов конфигурации?
Раньше я использовал такие продукты, как IPcop, и кажется возможным добиться этого с помощью этого продукта, если я перенаправлю их идеи «WAN», «WLAN» (красный / зеленый / оранжевый / синий интерфейсы), но Интересно, есть ли еще какие-нибудь приемлемые продукты для такого рода вещей.
Спасибо.
В дополнение к перечисленному выше.
Предполагая, что ваша iSCSI SAN имеет несколько интерфейсов и / или интерфейс управления, вы можете рассмотреть возможность сделать вашу iSCSI Data VLAN не маршрутизируемой.
Оставьте интерфейс управления в маршрутизируемой VLAN, чтобы все ваши электронные письма и SNMP работали, а затем просто пометьте все свои интерфейсы iSCSI на VLAN, которая не имеет уровня 3.
Если у вас есть Linux, вы можете использовать Shorewall. Его легко настроить и можно легко задать правила, которые вам нужны. Он имеет конфигурации по умолчанию для одного, двух и трех интерфейсов, которые являются хорошей отправной точкой. Увидеть Shoreall сайт.