হাইপার-ভি এর অধীনে ভার্চুয়ালাইজড ফায়ারওয়াল?

8

আমরা বর্তমানে আমাদের হাইপার-ভি আর 2 ভিত্তিক সার্ভারে একটি কন্টেন্ট ফিল্টার, ক্যাপটিভ পোর্টাল এবং সাধারণ ফায়ারওয়াল হিসাবে কাজ করার জন্য পিএফসেন্সের একটি ইনস্টলস বিবেচনা করছি।

যদিও ফায়ারওয়াল / গেটওয়ে ভার্চুয়ালাইজ করা সাধারণত খারাপ অভ্যাস হয় .. কখনও কখনও আপনি যা পেয়েছেন তা নিয়ে কাজ করতে হবে! :)

আমাদের কাছে 2 টি শারীরিক এনআইসিসি আছে .. 1 ইন্টারনেটের মুখোমুখি (ডাব্লুএএন) এবং 1 টি আমাদের অভ্যন্তরীণ ল্যানের মুখোমুখি।

কীভাবে একজন নিশ্চিত হতে পারে যে সমস্ত ইন্টারনেট অ্যাক্সেস পিএফএসেন্স ভিএম এর মধ্য দিয়ে যায়?

এমন একটি কনফিগারেশন রয়েছে যা ল্যান এনআইসিতে পিএফসেন্স ভিএমকে বাইপাস করে ট্র্যাফিক আসার কোনও সম্ভাবনা দূর করে?

দুঃখিত যদি এটি একটি নির্বোধ প্রশ্ন, আমি দিনের বিকাশকারী: ডি

windows-server-2008  firewall  hyper-v  pfsense 
ড্যানিয়েল আপটন
সূত্র
1
"যদিও ফায়ারওয়াল / গেটওয়ে ভার্চুয়ালাইজ করা সাধারণত খারাপ অভ্যাস" <- কে মতে ??
ক্রিস এস
2
আপনার কোনও ভাল আইটি লোক / পরামর্শদাতার খারাপ প্রয়োজন। এই জিনিসগুলি এমন কারও পক্ষে মোটেই কঠিন নয় যে কে জানে যে তারা কী করছে, এবং এটি কারওর জন্যই বেদনার জগতে পরিণত হবে না।
ক্রিস এস
আমি বেশিরভাগ ফোরামে দেখেছি এমন প্রথম প্রতিক্রিয়া হতে পারে: পি এটি বিটিডব্লিউর জন্য আমি যে সংস্থার জন্য কাজ করি তার পক্ষে নয় এটি আমার গির্জার জন্য সেটআপ করছি .. আমার দক্ষতার সেটটি প্রসারিত করার চেষ্টা করছে: ডি
ড্যানিয়েল আপটন
1
@ ড্যানিয়েলআপটন - আমি যখন ভিএম এর ভিতরে ফায়ারওয়াল লাগাতে শুরু করলাম তখন আমি এর জন্য অনেক ঝাঁকুনি কপি করেছিলাম। কিছু লোক (সার্ভার ফল্টে) এ সম্পর্কে আমার কাছে ডান-ডান অভ্যাস করেছিল। তবে আপনি যা খুঁজে পাবেন তা হ'ল যে লোকেরা জানে যে তারা কী করছে এবং এটি সঠিকভাবে করছে তারা সাধারণ হাত-তরঙ্গগুলি "সবই খারাপ" মন্তব্য করবে না :) এখানে আপনার কাছে যা আছে দুটি খুব উচ্চ-প্রতিনিধি ব্যবহারকারী বলেছেন "এটার জন্য যাও". আমি কিছু নামহীন ফোরামের লোকদের কাছে তাদের কথা শুনব।
মার্ক হেন্ডারসন

উত্তর:

13

ওয়েসলি কী বলেছেন ... প্লাস একটি চিত্র:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

WAN এবং ল্যান উভয়ের জন্য হাইপার-ভি হোস্টে একই এনআইসি ব্যবহার করা সম্ভব, তবে আপনাকে ভিএলএএন সেটআপ করতে হবে এবং তাদের সমর্থন করে এমন একটি সুইচ প্রয়োজন। এটি দ্রুত অগোছালো হয়ে যায় এবং এনআইসিগুলি মোটামুটি সস্তা। এনআইসি চিপসের উপর একটি নোট, ইনটেল, ব্রডকম ইত্যাদির মতো একটি ভাল করুন, রিয়েলটেক, মার্ভেল এবং সস্তার এবং ডিআইওয়াই মাদারবোর্ডে থাকা বেশিরভাগ অন-বোর্ড চিপ থেকে দূরে থাকুন। এগুলি ভার্চুয়ালাইজড পরিবেশের জন্য সমস্যা ছাড়া আর কিছুই নয়।

এছাড়াও, মনে রাখবেন হাইপার-ভি একটি খালি ধাতব হাইপারভাইজার। এটি উইন্ডোতে চালিত কোনও পরিষেবা নয়। মেশিনে উইন্ডোজ ইনস্টলেশন যা ছিল তা একটি বিশেষ ভিএম হয়ে ওঠে। সরলতা এবং ব্যবহারযোগ্যতার কারণে এটি কেস হিসাবে উপস্থিত হবে না, আপনি হাইপার-ভি নেটওয়ার্কিং সেটআপ করার মতো কাজগুলি করার সময় তা কার্যকর হবে play

ক্রিস এস
সূত্র
4
এএসসিআইআই-ফু এটির সাথে শক্তিশালী ...
ওয়েসলি
2
@ ওয়েসলি ডেভিড তিনি প্রতারণা করেছেন।
voretaq7
10

Pfsense ভার্চুয়াল মেশিনকে ডিফল্ট গেটওয়ে হিসাবে ব্যবহার করার জন্য সমস্ত পিসি, স্যুইচ, রাউটার এবং এটেটেরার নেটওয়ার্ক অবকাঠামোকে কেবল সেট করে নিলে সামগ্রী ফিল্টারটি সমস্ত ট্র্যাফিক প্রবাহকে প্রবাহিত করবে।

অবশ্যই, কেউ সার্ভারের বাইরে নেটওয়ার্ক কেবলগুলি ইঙ্ক করে ফেলতে পারে এবং তাদের পিসিটি সরাসরি আপনার WAN এ প্লাগ করতে পারে। আপনি পোর্ট স্তরের সুরক্ষা কার্যকর করতে কোনও ধরণের ম্যাক ফিল্টারিং বা 802.1x প্রমাণীকরণ সেট করতে পারেন। অবশ্যই, কেউ কেউ পাশাপাশি যে তারের পারে। মূল বক্তব্য: এমন এক সময় আসে যখন আপনি কেবল "সার্ভার রুমের পাসওয়ার্ড এবং কীগুলি পেয়েছি এবং আপনি তা করেন না" on

আপনার গেটওয়েটিকে কেবলমাত্র ডিফল্ট গেটওয়ে / রাউটার হিসাবে সেটআপ করা এবং নেটওয়ার্কে অন্য কোনও রাউটিং বিকল্প না থাকা আপনার সার্ভারের ক্লোজেটে হামলা চালানো এবং তারগুলি সহ ফ্রোবাইংয়ের ব্যতীত সমস্ত আউটলেটগুলিকে বাধা দেয়।

ওয়েসলি
সূত্র
ধন্যবাদ! সুতরাং আমি কি হাইপাইভাইজারের ডিফল্ট গেটওয়েটিও ভিএম-তে সেট করব? ল্যানের কোনও ব্যবহারকারী যদি ম্যানুয়ালি তাদের ডিফল্ট গেটওয়েটি ভিএম এর পিছনে রাউটারের আইপিতে সেট করে (ডাব্লুএল-এ)? .. আপনি সম্ভবত বলতে পারেন এটি আমার জন্য সমস্ত নতুন!
ড্যানিয়েল আপটন
হ্যাঁ, এই সেটআপে ভিএম হাইপার-ভি এর প্রবেশদ্বার হবে। যাইহোক, আমি এখন আপনার নেটওয়ার্ক ডিজাইন সম্পর্কে এতটা সামান্য বিভ্রান্ত। যদি সঠিকভাবে সম্পন্ন করা হয় তবে ভিএম এর "পিছনে" কোনও রাউটার থাকবে না। ভিএম ভাল এবং সত্যই এটি নিজস্ব মেশিন। যদিও, হ্যাঁ, শারীরিক হোস্টের ডাব্লুএএন-তে একটি নেটওয়ার্ক কেবল থাকবে, এটি রাউটার হবে না; এটিতে সঠিক রাউটিং টেবিল থাকবে না। এটি রুট প্যাকেটে পাওয়ার চেষ্টা করার প্রতিক্রিয়া জানায় না।
ওয়েসলি
আহ দুঃখিত আমি মুহুর্তের জন্য নিজেকে বিভ্রান্ত করেছিলাম, আপনার একদম ঠিক, আপনার উত্তরের জন্য ধন্যবাদ!
ড্যানিয়েল আপটন
@ ড্যানিয়েলআপটন ক্রিসের ASCII শিল্পের কাছে পরাজয়ের জন্য আমি মাথা ঝুলিয়ে দিচ্ছি। আপনি যখন তাকে সবুজ চেকমার্ক সরবরাহ করেন, তাকে এটি দিন ... আমার একমাত্র উত্সাহ। নাটকীয়ভাবে মারা যায়
ওয়েসলি
@ ওয়েসলি ডেভিড আমার ক্ষমাপ্রার্থী, আমি আপনার বজ্র চুরি করার অর্থ বোঝাতে চাইনি, বিশেষত যেহেতু আপনি সঠিক উত্তর পেয়েছেন (খুব)।
ক্রিস এস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.