Pare-feu virtualisé sous Hyper-V?

Nous envisageons actuellement d'installer une instance de pfSense sur notre serveur basé sur Hyper-V R2 pour agir comme filtre de contenu, portail captif et pare-feu général.

Bien que ce soit généralement une mauvaise pratique de virtualiser un pare-feu / passerelle .. parfois, vous devez travailler avec ce que vous avez! :)

Nous avons 2 cartes réseau physiques. 1 face à Internet (WAN) et 1 face à notre LAN interne.

Comment procéder pour s'assurer que tous les accès Internet passent par la machine virtuelle pfSense?

Existe-t-il une configuration qui élimine toute possibilité de trafic entrant sur la carte réseau LAN en contournant la machine virtuelle pfSense?

Désolé si c'est une question idiote, je suis développeur de jour: D

Ce que Wesley a dit ... Plus un diagramme:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

Il est en fait possible d'utiliser la même carte réseau sur l'hôte Hyper-V pour le WAN et le LAN, mais vous devrez configurer des vLAN et un commutateur qui les prend en charge. Cela devient rapidement désordonné et les cartes réseau sont assez bon marché. Une note sur les puces NIC, obtenez-en une bonne, comme Intel, Broadcom, etc. Restez à l'écart de Realtek, Marvel et de la plupart des puces intégrées sur les cartes mères moins chères et bricolage. Ils ne sont que des problèmes pour les environnements virtualisés.

Gardez également à l'esprit que Hyper-V est un hyperviseur nu-métal. Ce n'est PAS un service qui fonctionne sous Windows. Ce qui était auparavant l'installation de Windows sur la machine devient une machine virtuelle spéciale. Cela ne semble pas être le cas pour des raisons de simplicité et de convivialité, mais entre en jeu lorsque vous effectuez des opérations telles que la configuration de la mise en réseau Hyper-V.

Le simple fait de configurer tous les PC, commutateurs, routeurs et autres infrastructures réseau pour utiliser la machine virtuelle pfsense comme passerelle par défaut fera circuler tout le trafic dans le filtre de contenu.

Certes, quelqu'un pourrait arracher les câbles réseau du serveur et brancher son PC directement sur votre WAN. Vous pouvez définir une sorte de filtrage MAC ou d'authentification 802.1x pour activer la sécurité au niveau du port. Bien sûr, quelqu'un pourrait aussi câbler cela. Le point étant: il arrive un moment où vous comptez simplement sur "J'ai les mots de passe et les clés de la salle des serveurs et vous n'en avez pas."

La simple configuration de votre passerelle comme passerelle / routeur par défaut et le fait de ne pas avoir d'autres options de routage sur le réseau empêche toutes les prises, à l'exception de quelqu'un qui prend d'assaut le placard de votre serveur et frotte avec des câbles.