ここでは、iSCSI トラフィック、VMware 管理トラフィック、実稼働トラフィックなどのために分離されたネットワーク (一部は物理的に、一部は VLAN のみ) を備えた仮想化インフラストラクチャがあります。
もちろん、セキュリティとパフォーマンス上の理由から、たとえば LAN から iSCSI ネットワークへのアクセスを許可しないことが推奨されます。DMZ/LAN 間でも同様です。
私が抱えている問題は、実際には一部のサービスがする時々ネットワーク経由でアクセスする必要がある場合:
- システム監視サーバーはSNMPのためにESXホストとSANを参照する必要がある
- VSphere ゲスト コンソール アクセスには、VM が実行されている ESX ホストへの直接アクセスが必要です。
- VMware Converter は、VM が作成される ESX ホストへのアクセスを要求します。
- SAN電子メール通知システムがメールサーバーへのアクセスを要求しています
ネットワーク全体を無差別に開放するのではなく、これらのネットワークにまたがるファイアウォールを設置して、必要なアクセスだけを許可できるようにしたい。
例えば:
- SAN > 電子メール用 SMTP サーバー
- 管理 > SNMP による監視用 SAN
- 管理 > SNMP 経由で監視する ESX
- ターゲット サーバー > VMConverter 用 ESX
設定ファイルをあまり低レベルでいじらずに、このようなことを可能にする無料のファイアウォールを誰か推薦してもらえませんか?
以前、IPcop などの製品を使用したことがありますが、その製品で「WAN」、「WLAN」(赤/緑/オレンジ/青のインターフェイス) というアイデアを再利用すれば、これを実現できるようです。しかし、この種の用途に受け入れられている他の製品があるかどうか疑問に思っています。
ありがとう。
答え1
Linux を使っている場合は、Shorewall を使用できます。設定が簡単で、必要なルールを簡単に指定できます。1、2、3 のインターフェイスのデフォルト設定が用意されており、開始点として最適です。ショアオールサイト。
答え2
上記に記載したものに加えて。
iSCSI SAN に複数のインターフェイスや管理インターフェイスがある場合は、iSCSI データ VLAN を非ルーティングにすることを検討してください。
管理インターフェイスをルーティングされた VLAN 上に残して、すべての電子メールと SNMP が機能するようにし、すべての iSCSI インターフェイスをレイヤー 3 のない VLAN にタグ付けするだけです。