Hyper-Vでの仮想化ファイアウォール？

現在、コンテンツフィルター、キャプティブポータル、および一般的なファイアウォールとして機能するように、Hyper-V R2ベースのサーバーにpfSenseのインスタンスをインストールすることを検討しています。

ファイアウォール/ゲートウェイを仮想化することは通常悪い習慣ですが、時々あなたが持っているもので作業しなければならないことがあります！:)

2つの物理NICがあります。1つはインターネット（WAN）に面し、もう1つは内部LANに面しています。

すべてのインターネットアクセスがpfSense VMを通過することを確認するにはどうすればよいでしょうか。

pfSense VMをバイパスしてLAN NICにトラフィックが入る可能性を排除する構成はありますか？

ばかげた質問なら申し訳ありませんが、私は毎日開発者です：D

— ダニエル・アプトン
ソース

「通常、ファイアウォール/ゲートウェイを仮想化することは悪い習慣ですが」<-誰によると??

— クリスS

あなたは、優れたIT担当者またはコンサルタントを必要としています。このことは、何をしているのかを知っている人にとってはまったく難しいことではなく、知らない人にとっては傷つく世界になるでしょう。

— Chris S

私はほとんどのフォーラムで最初に見た応答の傾向があります：Pこれは私がBTWのために働いている会社のためではありません。それは私の教会のために設定しているものです。私のスキルセットを拡張しようとしています：D

— Daniel Upton

@DanielUpton-ファイアウォールをVM内に配置し始めたとき、私はそのためにも多くの欠点を抱えていました。一部の人々（サーバーの障害について）は、それについて私にまったく失礼でした。しかし、何をしているのかを知っていて、それを適切に実行する人は、そのような一般的な手振りの「すべてが悪い」というコメントをしないことがわかります。 "頑張れ"。私は何人かの匿名のフォーラムの人々を介してそれらに耳を傾けるでしょう。

— マークヘンダーソン

回答:

ウェスリーが言ったこと ...さらに図：

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

WANとLANの両方でHyper-Vホスト上の同じNICを使用することは実際には可能ですが、vLANをセットアップし、それらをサポートするスイッチが必要です。乱雑になり、NICはかなり安価です。NICチップについてのメモ。Intel、Broadcomなどの良いチップを入手してください。Realtek、Marvel、および安価なDIYマザーボード上のほとんどのオンボードチップには近づかないでください。これらは仮想化環境にとっては問題にすぎません。

また、Hyper-Vはベアメタルハイパーバイザーであることにも注意してください。Windowsで実行されるサービスではありません。マシン上のWindowsインストールであったものが特別なVMになります。これは、単純さと使いやすさの理由からそうではないように見えますが、Hyper-Vネットワークのセットアップなどを行うときに役立ちます。

— クリスS
ソース

ASCII-fuはこれで強力です...

— ウェズリー

@WesleyDavid彼はごまかされた。

— voretaq7 2012

すべてのPC、スイッチ、ルーター、etceteraネットワークインフラストラクチャを設定するだけで、pfsense仮想マシンがデフォルトゲートウェイとして使用され、すべてのトラフィックがコンテンツフィルターを通過します。

確かに、誰かがサーバーからネットワークケーブルを引っ張って、自分のPCを直接WANに接続する可能性があります。ある種のMACフィルタリングまたは802.1x認証を設定して、ポートレベルのセキュリティを実施できます。もちろん、誰かがそれを回避することもできます。重要なのは、「サーバールームへのパスワードとキーを持っているが、持っていない」だけに頼っている時が来るということです。

ゲートウェイをデフォルトゲートウェイ/ルーターとして設定し、ネットワークに他のルーティングオプションを設定しないことで、誰かがサーバークローゼットを襲い、ケーブルを利用することを除いて、すべてのアウトレットを防ぐことができます。

— ウェズリー
ソース

ありがとう！では、ハイパーバイザーのデフォルトゲートウェイもVMに設定するのですか？LAN上のユーザーが手動でデフォルトゲートウェイを（WAN上の）VMの背後にあるルーターのIPに設定するとどうなりますか？..おそらく、これがすべて私にとって新しいことだと言えるでしょう。

— Daniel Upton

はい、このセットアップでは、VMはHyper-Vのゲートウェイになります。しかし、私は今、あなたのネットワーク設計について少し混乱しています。適切に実行すると、VMの「背後」にルーターはありません。VMはまさしく、本当にそれ自体のマシンです。はい、そうです。物理ホストはWANにネットワークケーブルを備えていますが、ルーターにはなりません。適切なルーティングテーブルがありません。パケットをルーティングする試みに応答しません。

— ウェズリー

ああごめんなさい、しばらくの間混乱していました。あなたの答えは本当に正しいです。

— Daniel Upton

@DanielUptonクリスのアスキーアートに負けて頭をぶら下げます。あなたが彼に緑のチェックマークを与えるとき、彼にこれを与えてください...私の唯一の賛成票。劇的に死ぬ

— ウェズリー

@WesleyDavid申し訳ありませんが、特に正しい答えが得られたため（特に）、雷を盗むつもりはありませんでした。

— クリスS