我有一个问题,如何跨不同的家庭网络子网(例如 192.168.1.1 和 10.0.0.1)将磁盘共享给不同的虚拟机。在同一个网络子网中,我刚刚设置了一个 NFS 存储,但我该如何设置才能使它也能被不同的网络子网访问?
我想自己托管一个网站,但为了安全起见,将其放在与家里所有其他设备不同的网络子网上。但是,我仍然需要共享存储或至少一个文件夹。
与 Nextcloud 一样,我希望将其放在单独的子网中,但仍可访问我的主子网。这样与我的家庭网络相比,它与暴露在互联网上的网络具有一定的安全性和隔离性。
我的服务器运行 Proxmox 5.1,目前只有 LXC,但对于外部托管的网站和 Nextcloud,我计划安装 2 个使用两个不同虚拟桥的独立虚拟机(防火墙是 pfsense,另一个虚拟机在 Proxmox 上)。
希望这有意义,谢谢你的帮助!
答案1
有很多问题需要解决,但让我试试。首先:如果所有相关主机 (VM) 都使用相同的 pfSense VM 作为其默认网关,那么 pfSense 将知道如何在两个方向上路由流量。接下来:您是否添加了防火墙规则以允许流量?pfSense 有一些默认规则,用于 (1) WAN + (1) LAN,以允许所有来自 LAN 的出口,但您添加的任何 OPT 接口都带有默认的拒绝规则。如果允许流量,则对特定主机/服务的明确请求应该可以工作,但请注意广播流量(服务广告/网络发现)将被阻止。单独的子网 = 单独的广播域。对于将文件传输到您的 Web 服务器,我建议您考虑使用 sftp(通过 ssh 进行 ftp)而不是在 Internet 可访问的主机上使用 NFS,除非您确定您已限制仅从 LAN 进行访问。通过将主机放在单独的子网上可以获得多少安全性完全取决于您在 pfSense 防火墙规则中配置的内容:如果您允许所有内容,那么您只会阻止自动网络发现:基本上是通过模糊性实现安全性。当您仅允许必要的通信时,就会产生安全优势。在这种情况下,我希望您允许从“LAN”到 Web 主机的连接,但不允许反向发起任何连接。除非您需要将所有这些都放在一个盒子里,否则对于家庭设置,我希望有一个专用的盒子用于 pfSense 防火墙,而不是将 ProxMox 物理接口暴露到互联网。我不是说你不能这样做。我做过。我有一个 Debian 盒子放在数据中心,在运行 OpenVPN 的 VM 上运行 KVM/QEMU 和 pfSense,以及一些 LAN 和 DMZ VM:基本上它是一个客户的办公室 LAN,他们变得足够小,他们关闭了实体店,现在每个人都在家工作。这是一次有趣的练习,但我想我不会再做了。