我们目前正在考虑在基于 Hyper-V R2 的服务器上安装 pfSense 实例,以充当内容过滤器、强制门户和通用防火墙。
尽管虚拟化防火墙/网关通常是一种不好的做法,但有时你必须利用你所拥有的!:)
我们有 2 个物理网卡。1 个面向互联网(WAN),1 个面向我们的内部 LAN。
如何确保所有互联网访问都通过 pfSense VM?
是否存在一种配置可以消除 LAN NIC 上的流量绕过 pfSense VM 的可能性?
抱歉,如果这是一个愚蠢的问题,我白天是一名开发人员:D
答案1
卫斯理说了什么...另附一张图:
+----------------------------------+
| +----------+ +---------+ | +----+ +----+ +----+
| | pfSense | | Host OS | | | | | | | |
| | | | | | | PC | | PC | | PC |
| +----------+ +---------+ | | | | | | |
| ^ ^ ^ | +----+ +----+ +----+
| | +------+ | | ^ ^ ^
| | | | | | | |
| V V V | V V V
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
|Internet|<-->|WAN|<->|WAN NET| |LAN NET|<->|LAN|<----+| LAN SWITCH |
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
| Hyper-V Host |
+----------------------------------+
实际上,可以在 Hyper-V 主机上为 WAN 和 LAN 使用相同的 NIC,但您需要设置 vLAN 并需要一个支持它们的交换机。它很快就会变得混乱,而且 NIC 相当便宜。关于 NIC 芯片的注意事项,请购买优质的芯片,例如 Intel、Broadcom 等。远离 Realtek、Marvel 以及便宜和 DIY 主板上的大多数板载芯片。它们只会给虚拟化环境带来麻烦。
另外,请记住,Hyper-V 是一个裸机虚拟机管理程序。它不是在 Windows 中运行的服务。机器上以前安装的 Windows 变成了一个特殊的 VM。出于简单性和可用性的原因,这似乎不是这种情况,但在您执行诸如设置 Hyper-V 网络之类的操作时,它会发挥作用。
答案2
只需将所有 PC、交换机、路由器等网络基础设施设置为使用 pfSense 虚拟机作为其默认网关,所有流量都会流过内容过滤器。
当然,有人可能会将网络电缆从服务器中拔出,然后将他们的 PC 直接插入您的 WAN。您可以设置某种 MAC 过滤或 802.1x 身份验证来实施端口级安全性。当然,有人也可以绕过它。关键是:有时候您只是依靠“我有密码和服务器机房的钥匙,而你没有。”
只需将您的网关设置为默认网关/路由器,并且网络上没有任何其他路由选项,就可以阻止所有出口,除非有人闯入您的服务器机柜并弄乱电缆。