異なるホーム ネットワーク サブネット (例: 192.168.1.1 と 10.0.0.1) 間で異なる VM にディスクを共有する方法について質問があります。同じネットワーク サブネット内に NFS ストレージを設置したのですが、異なるネットワーク サブネットからもアクセスできるように設定するにはどうすればよいですか?
私はウェブサイトを自分でホストしたいのですが、セキュリティのために、自宅にある他のすべてのデバイスとは別のネットワーク サブネット上に置きます。しかし、どういうわけか、ストレージまたは少なくともフォルダーを共有する必要があります。
Nextcloud も同様に、別のサブネット上に置きつつ、メインのサブネットからアクセスできるようにしたいと考えています。自宅のネットワークとインターネットに公開されているものとをある程度分離してセキュリティを確保するためです。
私のサーバーは Proxmox 5.1 を実行しています。現在は LXC のみですが、外部でホストされている Web サイトと Nextcloud 用に、2 つの異なる仮想ブリッジ (ファイアウォールは pfsense、Proxmox 上の別の VM) を使用する 2 つの個別の VM をインストールする予定です。
意味が通じていれば幸いです。ご協力ありがとうございます!
答え1
対処すべきことはたくさんありますが、試してみます。まず、関係するすべてのホスト (VM) が同じ pfSense VM をデフォルト ゲートウェイとして使用している場合、pfSense は両方向のトラフィックをルーティングする方法を認識します。次に、トラフィックを許可するファイアウォール ルールを追加しましたか? pfSense には、LAN からのすべての出力を許可するための (1) WAN + (1) LAN のデフォルト ルールがいくつかありますが、追加した OPT インターフェイスには、デフォルトの拒否ルールが付属しています。トラフィックが許可されている場合、特定のホスト/サービスに対する明示的な要求は機能するはずですが、ブロードキャスト トラフィック (サービス広告/ネットワーク検出) はブロックされることに注意してください。サブネットが分離されているということは、ブロードキャスト ドメインが分離されているということです。Web サーバーへのファイル転送の場合、LAN からのアクセスのみを制限していることが確実でない限り、インターネットにアクセス可能なホストで NFS ではなく sftp (ftp over ssh) を検討することをお勧めします。ホストを別々のサブネットに配置することでどの程度のセキュリティが得られるかは、pfSense ファイアウォール ルールに何を構成するかによって決まります。すべてを許可すると、自動ネットワーク検出のみがブロックされます。基本的には、隠蔽によるセキュリティです。セキュリティ上の利点は、必要な通信のみを許可する場合に得られます。この場合、"LAN" から Web ホストへの接続は許可しますが、逆方向への接続は許可しないと思います。ホーム セットアップでこれらすべてを 1 つのボックスにまとめる必要がある場合を除き、ProxMox 物理インターフェイスをインターネットに公開するのではなく、pfSense ファイアウォール専用のボックスを用意します。できないと言っているわけではありません。私はそうしています。データセンターに Debian ボックスを設置し、OpenVPN を実行する VM で pfSense を実行し、KVM/QEMU を実行するとともに、LAN と DMZ VM をいくつか使用しています。基本的には、クライアントのオフィス LAN でしたが、クライアントが小さくなったために実店舗を閉鎖し、今では全員が自宅で働いています。楽しい演習でしたが、もう一度やろうとは思いません。