Virtualisierte Firewall unter Hyper-V?

8

Wir erwägen derzeit, eine Instanz von pfSense auf unserem Hyper-V R2-basierten Server zu installieren, um als Inhaltsfilter, Captive-Portal und allgemeine Firewall zu fungieren.

Obwohl es normalerweise eine schlechte Praxis ist, eine Firewall / ein Gateway zu virtualisieren, muss man manchmal mit dem arbeiten, was man hat! :) :)

Wir haben 2 physische Netzwerkkarten. 1 mit Blick auf das Internet (WAN) und 1 mit Blick auf unser internes LAN.

Wie würde man sicherstellen, dass der gesamte Internetzugang über die pfSense-VM erfolgt?

Gibt es eine Konfiguration, die verhindert, dass Datenverkehr auf der LAN-Netzwerkkarte unter Umgehung der pfSense-VM eingeht?

Entschuldigung, wenn es eine dumme Frage ist, ich bin tagsüber Entwickler: D.

windows-server-2008  firewall  hyper-v  pfsense 
Daniel Upton
quelle
1
"Obwohl es normalerweise eine schlechte Praxis ist, eine Firewall / ein Gateway zu virtualisieren" <- Nach wem?
Chris S
2
Sie brauchen dringend einen guten IT-Mitarbeiter. Dieses Zeug ist überhaupt nicht schwierig für jemanden, der weiß, was er tut, und es wird eine Welt voller Verletzungen für jemanden, der es nicht tut.
Chris S
Dies ist in der Regel die erste Antwort, die ich in den meisten Foren gesehen habe: P Dies ist nicht für das Unternehmen, für das ich arbeite. Übrigens ist es etwas, das ich für meine Kirche einrichte. Ich versuche, meine Fähigkeiten zu erweitern: D
Daniel Upton
1
@DanielUpton - Als ich anfing, Firewalls in VMs zu integrieren, habe ich auch viel Flack dafür verwendet. Einige Leute (bei Server Fault) waren mir gegenüber unhöflich. Aber was Sie feststellen werden, ist, dass Leute, die wissen, was sie tun und es richtig machen, keine allgemeinen handwedelnden "Alles ist schlecht" -Kommentare wie diese machen :) Was Sie hier haben, sind zwei sehr hochrangige Benutzer, die sagen "Tue es". Ich würde ihnen über einige anonyme Forum-Leute zuhören.
Mark Henderson

Antworten:

13

Was Wesley gesagt hat ... Plus ein Diagramm:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

Es ist tatsächlich möglich, dieselbe Netzwerkkarte auf dem Hyper-V-Host für WAN und LAN zu verwenden. Sie müssen jedoch vLANs einrichten und einen Switch benötigen, der diese unterstützt. Es wird schnell chaotisch und NICs sind ziemlich billig. Ein Hinweis zu NIC-Chips, erhalten Sie einen guten wie Intel, Broadcom usw. Halten Sie sich von Realtek, Marvel und den meisten On-Board-Chips auf billigeren und DIY-Motherboards fern. Sie sind nichts als Ärger für virtualisierte Umgebungen.

Denken Sie auch daran, dass Hyper-V ein Bare-Metal-Hypervisor ist. Es ist KEIN Dienst, der unter Windows ausgeführt wird. Was früher die Windows-Installation auf dem Computer war, wird zu einer speziellen VM. Dies scheint aus Gründen der Einfachheit und Benutzerfreundlichkeit nicht der Fall zu sein, kommt jedoch zum Tragen, wenn Sie beispielsweise das Hyper-V-Netzwerk einrichten.

Chris S.
quelle
4
Der ASCII-Fu ist stark mit diesem ...
Wesley
2
@WesleyDavid Er betrogen.
voretaq7
10

Wenn Sie einfach alle PCs, Switches, Router und andere Netzwerkinfrastrukturen so einstellen, dass die virtuelle pfsense-Maschine als Standard-Gateway verwendet wird, fließt der gesamte Datenverkehr durch den Inhaltsfilter.

Sicherlich könnte jemand Netzwerkkabel aus dem Server ziehen und seinen PC direkt an Ihr WAN anschließen. Sie können eine Art MAC-Filterung oder 802.1x-Authentifizierung festlegen, um die Sicherheit auf Portebene zu gewährleisten. Natürlich könnte jemand das auch einfach verkabeln. Der Punkt ist: Es kommt eine Zeit, in der Sie sich lediglich auf "Ich habe die Passwörter und die Schlüssel für den Serverraum und Sie nicht" verlassen.

Wenn Sie Ihr Gateway einfach als Standard-Gateway / Router einrichten und keine anderen Routing-Optionen im Netzwerk haben, werden alle Steckdosen verhindert, mit Ausnahme von Personen, die Ihren Serverschrank stürmen und mit Kabeln herumfummeln.

Wesley
quelle
Vielen Dank! Setze ich also auch das Standard-Gateway des Hypervisors auf die VM? Was passiert, wenn ein Benutzer im LAN sein Standard-Gateway manuell auf die IP eines Routers hinter der VM (im WAN) setzt? .. Sie können wahrscheinlich sagen, das ist alles neu für mich!
Daniel Upton
Ja, in diesem Setup ist die VM das Gateway von Hyper-V. Allerdings bin ich jetzt etwas verwirrt über Ihr Netzwerkdesign. Bei ordnungsgemäßer Ausführung befindet sich kein Router "hinter" der VM. Die VM ist wirklich eine eigene Maschine. Ja, der physische Host verfügt zwar über ein Netzwerkkabel im WAN, es handelt sich jedoch nicht um einen Router. Es werden nicht die richtigen Routing-Tabellen angezeigt. Es reagiert nicht auf Versuche, Pakete zum Weiterleiten zu bringen.
Wesley
Ah, tut mir leid, ich habe mich dann für einen Moment verwirrt, du hast absolut Recht, danke für deine Antwort!
Daniel Upton
@ DanielUpton Ich hänge meinen Kopf in Niederlage gegen Chris 'ASCII-Kunst. Wenn Sie ihm das grüne Häkchen geben, geben Sie ihm dies ... meine einzige Gegenstimme. stirbt dramatisch
Wesley
@WesleyDavid Ich entschuldige mich, ich wollte nicht deinen Donner stehlen, zumal du (auch) die richtige Antwort hast.
Chris S
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.