Настройка файрвола для управления подсетью?

Был Арендован сервер в дц Hezner, получена подсеть для виртуальных машин и дополнительный адрес для маршрутизации этой подсети.

На хост установили гипервизор vmWare ESXi 5

Если мною всё правильно было понято, то дальше для возможности использовать адреса из выделенной подсети необходимо установить и настроить виртуальную машину, которая станет выполнять роль шлюза. в качестве этой машины был выбран дистрибутив pfsense (возможно стоит пересмотреть выбор? найти что нибудь полегче/шустрее?)

на этой виртуальной машине было заведено 3 сетевых адаптера:

1. адаптер имеет дополнительный адрес, для маршрутизации

2. 192.168.1.1 для организации внутренней локальной сети

3. адаптер с 1м адресом из подсети — он будет выполнять роли шлюза



Далее создал экспериментальную ВМ, назначил ей второй адрес подсети, а шлюз — соответственно первым. сналету не заработало, виной тому оказался файрвол. после отключения его вроде всё стало замечательно.



так вот теперь вопрос:

1. насколько я понял эта виртуальная машина теперь будет стоять перед всеми ВМ в подведомственной подсети и весь трафик будет проходить через нее?

2. необходимо ли создавать какие нибудь правила чтобы работала маршрутизация? или, например если у нас будет ВМ с апачем на одном из IP, то достаточно в файрволе сделать правило, разрешающее пакеты на 80 порт этой ВМ? ну и соответственно, чтобы ходили пинги разрешить ICMP

3. как много ресурсов надо отдать этой шлюзовой машине?

4. при активном, правильно настроенном файрволе шлюза можно не заботится о фильтрации на конечных ВМ, чтобы не поднимать нагрузку?

5. ну и немного не по теме — какой дистрибутив предпочесть, чтобы развернуть на нем десяток ненагруженных сайтов (обыкновенный php+mysql+apache)?
  • Вопрос задан
  • 3450 просмотров
Пригласить эксперта
Ответы на вопрос 2
ntkt
@ntkt
Потомственный рыцарь клавиатуры и паяльника
1. Посмотрите на экран с вирт. адаптерами в настройках ESXi, и просто для себя нарисуйте картинку.

2. Вы спрашиваете что конкретно написать в конфигах pf?

3. Универсального ответа нет, оркестр из разнокалиберных виртуалок на ESXi может вытворять любые чудеса под нагрузкой. На все воля Великого Рандома.

4. Фильтрации на каком уровне? Транспортном, аппликационном, смотря от чего защищаемся?
Можно тупо зарезать лишние порты с определенных интерфейсов/подсетей (что есть ноль накладных расходов и спасет только от ботов, стучащихся в конкретные порты и пытающихся пробрутить сервисы, висящие на них), а можно поставить могучую комплексную систему IDS/IPS с игрищами и блудницами.

5. Берем самое распространенное, удобное и актуально поддерживаемое-обновляемое.
Debian/Ubuntu, CentOS, например.
Ответ написан
danielnewman
@danielnewman
Front-end
Вот тут перевод затеян — habrahabr.ru/post/147864/ Не истина в последней инстанции, но и не идиотом писанная. На сколько я понимаю, вопрос не тривиальный, т.к. сколько народу — столько и мнений, а по виртуализации материала не особо много. Т.е. его до той бабушки, но меньше чем сисек.

С уодвольствием понаблюдаю за ответами тертых админов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы