Ich habe hier eine virtualisierte Infrastruktur mit getrennten Netzwerken (einige physisch, einige nur per VLAN) für iSCSI-Verkehr, VMware-Verwaltungsverkehr, Produktionsverkehr usw.
Aus offensichtlichen Sicherheits- und Leistungsgründen wird natürlich empfohlen, beispielsweise keinen Zugriff vom LAN auf das iSCSI-Netzwerk zuzulassen, und dasselbe gilt für den Zugriff zwischen DMZ/LAN usw.
Das Problem, das ich habe, ist, dass in Wirklichkeit einige DiensteTunvon Zeit zu Zeit Zugriff über die Netzwerke benötigen:
- Der Systemüberwachungsserver muss die ESX-Hosts und das SAN für SNMP sehen
- Der Zugriff auf die VSphere-Gastkonsole erfordert direkten Zugriff auf den ESX-Host, auf dem die VM ausgeführt wird
- VMware Converter benötigt Zugriff auf den ESX-Host, auf dem die VM erstellt wird
- Das SAN-E-Mail-Benachrichtigungssystem möchte Zugriff auf unseren Mailserver
Anstatt das gesamte Netzwerk freizugeben, möchte ich eine Firewall über diese Netzwerke installieren, damit ich nur den erforderlichen Zugriff zulassen kann.
Zum Beispiel:
- SAN > SMTP-Server für E-Mail
- Verwaltung > SAN zur Überwachung über SNMP
- Management > ESX zur Überwachung über SNMP
- Zielserver > ESX für VMConverter
Kann jemand eine kostenlose Firewall empfehlen, die so etwas zulässt, ohne dass zu viel an den Konfigurationsdateien herumgebastelt werden muss?
Ich habe zuvor bereits Produkte wie IPcop verwendet und es scheint möglich zu sein, dies mit diesem Produkt zu erreichen, wenn ich deren Vorstellungen von „WAN“ und „WLAN“ (die roten/grünen/orangen/blauen Schnittstellen) umfunktioniere. Allerdings frage ich mich, ob es für derartige Dinge noch andere anerkannte Produkte gibt.
Danke.
Antwort1
Wenn Sie Linux im Mix haben, können Sie Shorewall verwenden. Es ist einfach zu konfigurieren und ermöglicht die einfache Festlegung von Regeln, wie Sie sie benötigen. Es hat Standardkonfigurationen für eine, zwei und drei Schnittstellen, die einen guten Ausgangspunkt darstellen. Siehe dieKüstenallWebsite.
Antwort2
Zusätzlich zu dem, was oben aufgeführt ist.
Vorausgesetzt, Ihr iSCSI-SAN verfügt über mehrere Schnittstellen und/oder eine Verwaltungsschnittstelle, möchten Sie möglicherweise Ihr iSCSI-Daten-VLAN nicht geroutet machen.
Belassen Sie die Verwaltungsschnittstelle auf einem gerouteten VLAN, damit alle Ihre E-Mails und SNMP funktionieren, und markieren Sie dann einfach alle Ihre iSCSI-Schnittstellen auf einem VLAN ohne Layer 3.