현재 컨텐츠 필터, 캡 티브 포털 및 일반 방화벽 역할을하기 위해 Hyper-V R2 기반 서버에 pfSense 인스턴스를 설치하는 것을 고려하고 있습니다.
방화벽 / 게이트웨이를 가상화하는 것은 일반적으로 나쁜 습관이지만. 때때로 당신은 가지고있는 것을 가지고 작업해야합니다! 🙂
2 개의 물리적 NIC가 있습니다. 1 인터넷 (WAN)을 향하고 1은 내부 LAN을 향합니다.
모든 인터넷 액세스가 pfSense VM을 통과하도록하려면 어떻게해야합니까?
pfSense VM을 우회하여 LAN NIC에 들어오는 트래픽을 제거하는 구성이 있습니까?
바보 같은 질문이라면 미안하지만 나는 개발자입니다 : D
답변
웨슬리가 말한 것 … 그리고 다이어그램 :
+----------------------------------+
| +----------+ +---------+ | +----+ +----+ +----+
| | pfSense | | Host OS | | | | | | | |
| | | | | | | PC | | PC | | PC |
| +----------+ +---------+ | | | | | | |
| ^ ^ ^ | +----+ +----+ +----+
| | +------+ | | ^ ^ ^
| | | | | | | |
| V V V | V V V
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
|Internet|<-->|WAN|<->|WAN NET| |LAN NET|<->|LAN|<----+| LAN SWITCH |
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
| Hyper-V Host |
+----------------------------------+
실제로 WAN과 LAN 모두에 대해 Hyper-V 호스트에서 동일한 NIC를 사용할 수 있지만 vLAN을 설정하고이를 지원하는 스위치가 필요합니다. 빨리 지저분 해지고 NIC가 상당히 저렴합니다. NIC 칩에 대한 참고 사항, Intel, Broadcom 등과 같은 좋은 칩 하나를 얻으십시오. Realtek, Marvel 및 대부분의 온보드 칩은 저렴하고 DIY 마더 보드에 가까이 두지 마십시오. 가상화 된 환경에는 문제가되지 않습니다.
또한 Hyper-V는 베어 메탈 하이퍼 바이저입니다. Windows에서 실행되는 서비스가 아닙니다. 컴퓨터에 Windows를 설치했던 것은 특별한 VM이됩니다. 이는 단순성과 유용성으로 인해 나타나지는 않지만 Hyper-V 네트워킹 설정과 같은 작업을 수행 할 때 작동합니다.
답변
pfsense 가상 머신을 기본 게이트웨이로 사용하도록 모든 PC, 스위치, 라우터 및 기타 네트워크 인프라를 설정하기 만하면 모든 트래픽이 컨텐츠 필터를 통과하게됩니다.
확실히 누군가 누군가 네트워크 케이블을 서버에서 빼내어 PC를 WAN에 바로 꽂을 수 있습니다. 포트 수준 보안을 적용하기 위해 일종의 MAC 필터링 또는 802.1x 인증을 설정할 수 있습니다. 물론 누군가가 그 주위를 둘러 볼 수도 있습니다. 요점은 : “비밀번호와 열쇠를 서버 룸에 가지고 있지만 가지고 있지 않다”는 것에 의지 할 때가왔다.
게이트웨이를 기본 게이트웨이 / 라우터로 설정하고 네트워크에 다른 라우팅 옵션이없는 경우 누군가 서버 클로닝을 치고 케이블이 끊기는 것을 제외하고 모든 콘센트를 막을 수 있습니다.