目前我们正在考虑在基于Hyper-V R2的服务器上安装pfSense实例,以充当内容filter,强制门户和通用防火墙。
虽然虚拟化防火墙/网关通常是不好的做法..有时候,你必须与你的工作! 🙂
我们有2个物理网卡.. 1面对互联网(WAN),1个面向我们的内部局域网。
如何确保所有的互联网访问都通过pfSense虚拟机?
是否有一种configuration可以消除LAN NIC上stream量进入pfSense VM的可能性?
对不起,如果这是一个愚蠢的问题,我是白天的开发者:D
韦斯利说了些什么 ……再加上一个图表:
+----------------------------------+ | +----------+ +---------+ | +----+ +----+ +----+ | | pfSense | | Host OS | | | | | | | | | | | | | | | PC | | PC | | PC | | +----------+ +---------+ | | | | | | | | ^ ^ ^ | +----+ +----+ +----+ | | +------+ | | ^ ^ ^ | | | | | | | | | VVV | VVV +--------+ +---+ +-------+ +-------+ +---+ +-----------------+ |Internet|<-->|WAN|<->|WAN NET| |LAN NET|<->|LAN|<----+| LAN SWITCH | +--------+ +---+ +-------+ +-------+ +---+ +-----------------+ | Hyper-V Host | +----------------------------------+ 实际上可以在Hyper-V主机上为WAN和LAN使用相同的网卡,但是您需要设置vLAN并需要一个支持它们的交换机。 它很快变得杂乱,网卡相当便宜。 关于网卡芯片的说明,比如英特尔,博通,等等。远离Realtek,Marvel和大多数廉价和DIY主板上的板载芯片。 对于虚拟化环境来说,它们只是麻烦而已。
另外请记住,Hyper-V是一个裸机pipe理程序。 它不是在Windows中运行的服务。 以前在机器上的Windows安装成为一个特殊的虚拟机。 这似乎并不是简单和可用性的原因,但是当您执行诸如设置Hyper-Vnetworking之类的事情时就会发挥作用。
只需将所有PC,交换机,路由器等networking基础设施设置为使用pfsense虚拟机作为其默认网关,将使所有stream量都stream经内容filter。
当然,有人可能会将networking电缆从服务器中拔出,并将其电脑直接插入广域网。 您可以设置某种MAC过滤或802.1x身份validation来设置端口级别的安全性。 当然,也有人可以绕过这个线路。 重点是:有一段时间,你只是依靠“我有密码和钥匙到服务器机房,你不知道”。
只需将网关设置为默认网关/路由器,并且networking上没有任何其他路由选项,就可以防止所有网点出现故障,除了有人攻击您的服务器并使用电缆。