我这里有一个虚拟化基础设施,其中有用于 iSCSI 流量、VMware 管理流量、生产流量等的独立网络(一些是物理的,一些只是通过 VLAN)。
当然,建议不允许从 LAN 访问 iSCSI 网络,因为显然是出于安全和性能原因,DMZ/LAN 之间也是如此。
我遇到的问题是,实际上,一些服务做需要不时通过网络访问:
- 系统监控服务器需要查看 ESX 主机和 SNMP 的 SAN
- VSphere 客户机控制台访问需要直接访问虚拟机正在运行的 ESX 主机
- VMware Converter 需要访问将在其上创建虚拟机的 ESX 主机
- SAN 电子邮件通知系统需要访问我们的邮件服务器
我不想疯狂地开放整个网络,而是想在这些网络上放置一个防火墙,这样我就可以只允许所需的访问
例如:
- SAN > 电子邮件的 SMTP 服务器
- 管理 > 通过 SNMP 监控的 SAN
- 管理 > ESX 通过 SNMP 进行监控
- 目标服务器 > ESX for VMConverter
有人可以推荐一种免费的防火墙,可以允许这种事情发生而不需要对配置文件进行太多的低级修改吗?
我以前使用过 IPcop 之类的产品,如果我重新利用“WAN”、“WLAN”(红色/绿色/橙色/蓝色接口)的概念,似乎可以使用该产品实现这一点,但想知道是否还有其他可以接受这种东西的产品。
谢谢。
答案1
如果您使用的是 Linux,则可以使用 Shorewall。它易于配置,并且可以轻松指定您需要的规则。它具有一个、两个和三个接口的默认配置,这是一个很好的起点。请参阅肖尔奥尔地点。
答案2
除上面列出的内容外。
假设您的 iSCSI SAN 具有多个接口和/或管理接口,您可能需要考虑使您的 iSCSI 数据 VLAN 非路由。
将管理接口留在路由 VLAN 上,以便您的所有电子邮件和 SNMP 都能正常工作,然后只需将所有 iSCSI 接口标记到没有第 3 层的 VLAN 上即可。