Atualmente, estamos pensando em instalar uma instância do pfSense em nosso servidor baseado no Hyper-V R2 para atuar como filtro de conteúdo, portal cativo e firewall geral.
Embora seja geralmente uma má prática virtualizar um firewall / gateway ... às vezes você precisa trabalhar com o que tem! :)
Temos duas NICs físicas. Uma voltada para a Internet (WAN) e uma voltada para nossa LAN interna.
Como garantir que todo o acesso à Internet passe pela VM do pfSense?
Existe uma configuração que elimina qualquer possibilidade de tráfego que entra na NIC da LAN ignorando a VM do pfSense?
Desculpe se é uma pergunta boba, eu sou desenvolvedor por dia: D
windows-server-2008
firewall
hyper-v
pfsense
Daniel Upton
fonte
fonte
Respostas:
O que Wesley disse ... Além de um diagrama:
Na verdade, é possível usar a mesma NIC no host Hyper-V para WAN e LAN, mas você precisará configurar vLANs e um switch que os suporte. Fica confuso rapidamente e as placas de rede são razoavelmente baratas. Uma observação sobre os chips NIC, obtenha um bom, como Intel, Broadcom, etc. Fique longe da Realtek, Marvel e da maioria dos chips on-board em placas-mãe mais baratas e DIY. Eles não são nada além de problemas para ambientes virtualizados.
Além disso, lembre-se de que o Hyper-V é um Hypervisor bare-metal. NÃO é um serviço executado no Windows. O que costumava ser a instalação do Windows na máquina se torna uma VM especial. Isso não parece ser o caso por motivos de simplicidade e usabilidade, mas entra em ação quando você faz coisas como configurar a rede Hyper-V.
fonte
Basta configurar todos os PCs, comutadores, roteadores e etc. a infraestrutura de rede para usar a máquina virtual pfsense como seu gateway padrão, fazendo todo o tráfego fluir através do filtro de conteúdo.
Certamente, alguém poderia retirar os cabos de rede do servidor e conectar o PC diretamente à sua WAN. Você pode definir algum tipo de filtragem MAC ou autenticação 802.1x para garantir a segurança no nível da porta. É claro que alguém poderia apenas contornar isso também. O ponto é: chega um momento em que você está apenas confiando em "Eu tenho as senhas e as chaves da sala do servidor e você não."
Simplesmente configurar seu gateway como o roteador / gateway padrão e não ter outras opções de roteamento na rede evita todas as saídas, com exceção de alguém invadindo o armário do servidor e sacudindo os cabos.
fonte