Firewall virtualizado no Hyper-V?

8

Atualmente, estamos pensando em instalar uma instância do pfSense em nosso servidor baseado no Hyper-V R2 para atuar como filtro de conteúdo, portal cativo e firewall geral.

Embora seja geralmente uma má prática virtualizar um firewall / gateway ... às vezes você precisa trabalhar com o que tem! :)

Temos duas NICs físicas. Uma voltada para a Internet (WAN) e uma voltada para nossa LAN interna.

Como garantir que todo o acesso à Internet passe pela VM do pfSense?

Existe uma configuração que elimina qualquer possibilidade de tráfego que entra na NIC da LAN ignorando a VM do pfSense?

Desculpe se é uma pergunta boba, eu sou desenvolvedor por dia: D

Daniel Upton
fonte
1
"Embora seja geralmente uma prática ruim virtualizar um firewall / gateway" <- De acordo com quem?
Chris S
2
Você precisa muito de um bom consultor / cara de TI. Esse tipo de coisa não é difícil para alguém que sabe o que está fazendo, e será um mundo de mágoa para quem não sabe.
Chris S
Tende a ser a primeira resposta que eu vi na maioria dos fóruns: P Isto não é para a empresa em que trabalho BTW é algo que eu estou preparando para minha igreja .. tentando expandir meu conjunto de habilidades: D
Daniel Upton
1
@DanielUpton - Quando eu comecei a colocar firewalls dentro das VMs, também recebi muita atenção. Algumas pessoas (com falha no servidor) foram muito rudes comigo. Mas o que você verá é que as pessoas que sabem o que estão fazendo e o fazem corretamente não fazem comentários gerais como "tudo está ruim", como esse: :) ​​O que você tem aqui são dois usuários de alta reputação dizendo "vá em frente". Eu os ouvia através de algumas pessoas anônimas no fórum.
Mark Henderson

Respostas:

13

O que Wesley disse ... Além de um diagrama:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

Na verdade, é possível usar a mesma NIC no host Hyper-V para WAN e LAN, mas você precisará configurar vLANs e um switch que os suporte. Fica confuso rapidamente e as placas de rede são razoavelmente baratas. Uma observação sobre os chips NIC, obtenha um bom, como Intel, Broadcom, etc. Fique longe da Realtek, Marvel e da maioria dos chips on-board em placas-mãe mais baratas e DIY. Eles não são nada além de problemas para ambientes virtualizados.

Além disso, lembre-se de que o Hyper-V é um Hypervisor bare-metal. NÃO é um serviço executado no Windows. O que costumava ser a instalação do Windows na máquina se torna uma VM especial. Isso não parece ser o caso por motivos de simplicidade e usabilidade, mas entra em ação quando você faz coisas como configurar a rede Hyper-V.

Chris S
fonte
4
O ASCII-fu é forte com este ...
Wesley
2
@WesleyDavid He trapaceou.
precisa saber é o seguinte
10

Basta configurar todos os PCs, comutadores, roteadores e etc. a infraestrutura de rede para usar a máquina virtual pfsense como seu gateway padrão, fazendo todo o tráfego fluir através do filtro de conteúdo.

Certamente, alguém poderia retirar os cabos de rede do servidor e conectar o PC diretamente à sua WAN. Você pode definir algum tipo de filtragem MAC ou autenticação 802.1x para garantir a segurança no nível da porta. É claro que alguém poderia apenas contornar isso também. O ponto é: chega um momento em que você está apenas confiando em "Eu tenho as senhas e as chaves da sala do servidor e você não."

Simplesmente configurar seu gateway como o roteador / gateway padrão e não ter outras opções de roteamento na rede evita todas as saídas, com exceção de alguém invadindo o armário do servidor e sacudindo os cabos.

Wesley
fonte
Obrigado! Então, também defino o gateway padrão do Hypervisor para a VM? e se um usuário na LAN definir manualmente seu gateway padrão para o IP de um roteador atrás da VM (na WAN)? .. você provavelmente pode dizer que tudo isso é novo para mim!
Daniel Upton
Sim, nessa configuração, a VM será o gateway do Hyper-V. No entanto, estou um pouco confuso sobre o design da sua rede agora. Se feito corretamente, não haverá roteador "atrás" da VM. A VM está bem e realmente é sua própria máquina. Embora, sim, o host físico tenha um cabo de rede na WAN, não será um roteador; não terá as tabelas de roteamento adequadas. Ele não responderá às tentativas de rotear pacotes.
Wesley
Ah, desculpe, estava me confundindo por um momento, então, você está absolutamente certo, obrigado por sua resposta!
Daniel Upton
@DanielUpton Eu derrubei minha cabeça em derrota pela arte ASCII de Chris. Quando você der a marca de seleção verde para ele, dê a ele ... meu único voto positivo. morre dramaticamente
Wesley
@WesleyDavid Minhas desculpas, não pretendia roubar seu trovão, principalmente porque você também tem a resposta certa.
Chris S