Pare-feu virtualisé sous Hyper-V?


8

Nous envisageons actuellement d'installer une instance de pfSense sur notre serveur basé sur Hyper-V R2 pour agir comme filtre de contenu, portail captif et pare-feu général.

Bien que ce soit généralement une mauvaise pratique de virtualiser un pare-feu / passerelle .. parfois, vous devez travailler avec ce que vous avez! :)

Nous avons 2 cartes réseau physiques. 1 face à Internet (WAN) et 1 face à notre LAN interne.

Comment procéder pour s'assurer que tous les accès Internet passent par la machine virtuelle pfSense?

Existe-t-il une configuration qui élimine toute possibilité de trafic entrant sur la carte réseau LAN en contournant la machine virtuelle pfSense?

Désolé si c'est une question idiote, je suis développeur de jour: D


1
"Bien que ce soit généralement une mauvaise pratique de virtualiser un pare-feu / une passerelle" <- selon qui ??
Chris S

2
Vous avez vraiment besoin d'un bon informaticien / consultant. Ce truc n'est pas difficile du tout pour quelqu'un qui sait ce qu'il fait, et ça va être un monde de mal pour quelqu'un qui ne le sait pas.
Chris S

Tendance à être la première réponse que j'ai vue sur la plupart des forums: P Ce n'est pas pour l'entreprise où je travaille pour BTW, c'est quelque chose que je mets en place pour mon église .. essayant d'élargir mes compétences: D
Daniel Upton

1
@DanielUpton - Quand j'ai commencé à mettre des pare-feu à l'intérieur des VM, j'ai également fait beaucoup de mal. Certaines personnes (sur Server Fault) étaient impolies en bas à droite à ce sujet. Mais ce que vous constaterez, c'est que les gens qui savent ce qu'ils font et le font correctement ne feront pas de commentaires généraux "tout va mal" comme ça :) Ce que vous avez ici, ce sont deux utilisateurs très réputés qui disent "fonce". Je les écouterais sur des forums anonymes.
Mark Henderson

Réponses:


13

Ce que Wesley a dit ... Plus un diagramme:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

Il est en fait possible d'utiliser la même carte réseau sur l'hôte Hyper-V pour le WAN et le LAN, mais vous devrez configurer des vLAN et un commutateur qui les prend en charge. Cela devient rapidement désordonné et les cartes réseau sont assez bon marché. Une note sur les puces NIC, obtenez-en une bonne, comme Intel, Broadcom, etc. Restez à l'écart de Realtek, Marvel et de la plupart des puces intégrées sur les cartes mères moins chères et bricolage. Ils ne sont que des problèmes pour les environnements virtualisés.

Gardez également à l'esprit que Hyper-V est un hyperviseur nu-métal. Ce n'est PAS un service qui fonctionne sous Windows. Ce qui était auparavant l'installation de Windows sur la machine devient une machine virtuelle spéciale. Cela ne semble pas être le cas pour des raisons de simplicité et de convivialité, mais entre en jeu lorsque vous effectuez des opérations telles que la configuration de la mise en réseau Hyper-V.


4
L'ASCII-fu est fort avec celui-ci ...
Wesley

2
@WesleyDavid Il a triché.
voretaq7

10

Le simple fait de configurer tous les PC, commutateurs, routeurs et autres infrastructures réseau pour utiliser la machine virtuelle pfsense comme passerelle par défaut fera circuler tout le trafic dans le filtre de contenu.

Certes, quelqu'un pourrait arracher les câbles réseau du serveur et brancher son PC directement sur votre WAN. Vous pouvez définir une sorte de filtrage MAC ou d'authentification 802.1x pour activer la sécurité au niveau du port. Bien sûr, quelqu'un pourrait aussi câbler cela. Le point étant: il arrive un moment où vous comptez simplement sur "J'ai les mots de passe et les clés de la salle des serveurs et vous n'en avez pas."

La simple configuration de votre passerelle comme passerelle / routeur par défaut et le fait de ne pas avoir d'autres options de routage sur le réseau empêche toutes les prises, à l'exception de quelqu'un qui prend d'assaut le placard de votre serveur et frotte avec des câbles.


Merci! Alors, dois-je également définir la passerelle par défaut de l'hyperviseur sur la machine virtuelle? que se passe-t-il si un utilisateur sur le LAN définit manuellement sa passerelle par défaut sur l'IP d'un routeur derrière la VM (sur le WAN)? .. vous pouvez probablement dire que tout cela est nouveau pour moi!
Daniel Upton

Oui, dans cette configuration, la VM sera la passerelle d'Hyper-V. Cependant, je suis un peu confus à propos de la conception de votre réseau maintenant. Si c'est fait correctement, il n'y aura pas de routeur "derrière" la VM. La machine virtuelle est bel et bien sa propre machine. Alors que, oui, l'hôte physique aura un câble réseau sur le WAN, ce ne sera pas un routeur; il n'aura pas les tables de routage appropriées. Il ne répondra pas aux tentatives d'obtention de routage de paquets.
Wesley

Ah désolé je me suis dérouté pendant un moment alors, vous avez absolument raison, merci pour votre réponse!
Daniel Upton

@DanielUpton Je baisse la tête dans la défaite face à l'art ASCII de Chris. Lorsque vous lui accordez la coche verte, donnez-lui ceci ... mon seul vote positif. meurt de façon spectaculaire
Wesley

@WesleyDavid Mes excuses, je ne voulais pas vous voler la foudre, d'autant plus que vous avez la bonne réponse (aussi).
Chris S
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.