¿Cortafuegos virtualizado bajo Hyper-V?

8

Actualmente estamos considerando instalar una instancia de pfSense en nuestro servidor basado en Hyper-V R2 para que actúe como filtro de contenido, portal cautivo y firewall general.

Aunque generalmente es una mala práctica virtualizar un firewall / puerta de enlace ... ¡a veces tienes que trabajar con lo que tienes! :)

Tenemos 2 NIC físicas. 1 frente a Internet (WAN) y 1 frente a nuestra LAN interna.

¿Cómo podría uno asegurarse de que todo el acceso a Internet pase por la VM de pfSense?

¿Existe una configuración que elimine cualquier posibilidad de que ingrese tráfico en la NIC de LAN sin pasar por la VM de pfSense?

Lo siento si es una pregunta tonta, soy desarrollador por día: D

Daniel Upton
fuente
1
"Aunque generalmente es una mala práctica virtualizar un firewall / puerta de enlace" <- ¿Según quién?
Chris S
2
Tienes una gran necesidad de un buen chico / consultor de TI. Esto no es nada difícil para alguien que sabe lo que está haciendo, y va a ser un mundo de dolor para alguien que no lo sabe.
Chris S
Tiende a ser la primera respuesta que he visto en la mayoría de los foros: P Esto no es para la compañía para la que trabajo BTW, es algo que estoy preparando para mi iglesia ... tratando de expandir mi conjunto de habilidades: D
Daniel Upton
1
@DanielUpton: cuando comencé a colocar firewalls dentro de las máquinas virtuales, también le puse mucha atención. Algunas personas (en Server Fault) fueron muy groseros conmigo al respecto. Pero lo que encontrará es que las personas que saben lo que están haciendo y lo hacen correctamente no harán comentarios generales de "todo es malo" como ese :) Lo que tienes aquí son dos usuarios de muy alta reputación que dicen "ve a por ello". Los escucharía a través de algunas personas anónimas del foro.
Mark Henderson el

Respuestas:

13

Lo que dijo Wesley ... Más un diagrama:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

En realidad, es posible usar la misma NIC en el host Hyper-V para WAN y LAN, pero necesitará configurar vLAN y necesitará un conmutador que las admita. Se vuelve desordenado rápidamente y las NIC son bastante baratas. Una nota sobre los chips NIC, obtenga uno bueno, como Intel, Broadcom, etc. Manténgase alejado de Realtek, Marvel y la mayoría de los chips integrados en placas base más baratas y de bricolaje. No son más que problemas para entornos virtualizados.

Además, tenga en cuenta que Hyper-V es un hipervisor de metal desnudo. NO es un servicio que se ejecuta en Windows. Lo que solía ser la instalación de Windows en la máquina se convierte en una máquina virtual especial. Este no parece ser el caso por razones de simplicidad y usabilidad, pero entra en juego cuando haces cosas como configurar la red Hyper-V.

Chris S
fuente
44
El ASCII-fu es fuerte con este ...
Wesley
2
@WesleyDavid hizo trampa.
voretaq7
10

Simplemente configurando todas las PC, conmutadores, enrutadores y la infraestructura de red de etcétera para usar la máquina virtual pfsense como su puerta de enlace predeterminada hará que todo el tráfico fluya a través del filtro de contenido.

Ciertamente, alguien podría tirar de los cables de red del servidor y conectar su PC directamente a su WAN. Puede configurar algún tipo de filtro MAC o autenticación 802.1x para activar la seguridad a nivel de puerto. Por supuesto, alguien podría simplemente conectar eso también. El punto es: llega un momento en el que simplemente confías en "Tengo las contraseñas y las claves de la sala de servidores y tú no".

Simplemente configurar su puerta de enlace como puerta de enlace / enrutador predeterminado y no tener ninguna otra opción de enrutamiento en la red evita todas las salidas, con la excepción de que alguien asalte el armario de su servidor y robe los cables.

Wesley
fuente
¡Gracias! Entonces, ¿también configuro la puerta de enlace predeterminada del hipervisor en la máquina virtual? ¿Qué sucede si un usuario en la LAN establece manualmente su puerta de enlace predeterminada a la IP de un enrutador detrás de la VM (en la WAN)? .. probablemente puedas decir que todo esto es nuevo para mí!
Daniel Upton
Sí, en esta configuración, la VM será la puerta de enlace de Hyper-V. Sin embargo, ahora estoy un poco confundido sobre el diseño de su red ahora. Si se hace correctamente, no habrá enrutador "detrás" de la VM. La VM está bien y realmente es su propia máquina. Si bien, el host físico tendrá un cable de red en la WAN, no será un enrutador; no tendrá las tablas de enrutamiento adecuadas. No responderá a los intentos de enrutar paquetes.
Wesley
Ah, lo siento, me confundí por un momento, tienes toda la razón, ¡gracias por tu respuesta!
Daniel Upton
@DanielUpton Agacho la cabeza en derrota ante el arte ASCII de Chris. Cuando le concedas la marca de verificación verde, dale esto ... mi único voto positivo. muere dramáticamente
Wesley
@WesleyDavid Mis disculpas, no quise robarte el trueno, especialmente porque tienes la respuesta correcta (también).
Chris S