Tengo una pregunta sobre cómo puedo compartir un disco entre diferentes subredes de la red doméstica (por ejemplo, 192.168.1.1 y 10.0.0.1) con diferentes máquinas virtuales. Dentro de las mismas subredes de red, acabo de instalar un almacenamiento NFS, pero ¿cómo puedo configurarlo para que también sea accesible a través de subredes de red diferentes?
Quiero alojar un sitio web por mi cuenta, pero por seguridad lo tengo en una subred de red separada de todos mis demás dispositivos en casa. Sin embargo, de alguna manera todavía necesito compartir almacenamiento o al menos una carpeta.
Lo mismo con Nextcloud, quiero tenerlo en una subred separada pero seguir siendo accesible desde mi subred principal. Sólo para que haya cierta seguridad y separación frente a mi red doméstica de lo que está expuesto a Internet.
Mi servidor ejecuta Proxmox 5.1, actualmente solo LXC, pero para el sitio web alojado externamente y Nextcloud, planeo instalar 2 máquinas virtuales separadas que usan dos puentes virtuales diferentes (el firewall es pfsense, otra máquina virtual en Proxmox).
Espero que tenga sentido, ¡gracias por tu ayuda!
Respuesta1
Hay mucho que abordar, pero déjame intentarlo. Primero: si todos los hosts (VM) interesados utilizan la misma VM pfSense como puerta de enlace predeterminada, entonces pfSense sabrá cómo enrutar el tráfico en ambas direcciones. Siguiente: ¿ha agregado reglas de firewall para permitir el tráfico? pfSense tiene algunas reglas predeterminadas para (1) WAN + (1) LAN para permitir todas las salidas de la LAN, pero cualquier interfaz OPT que agregue viene con una regla de Denegación predeterminada. Si el tráfico está permitido, una solicitud explícita para un host/servicio específico debería funcionar, pero sepa que el tráfico de transmisión (publicidad de servicios/descubrimiento de redes) será bloqueado. Subredes separadas = dominios de transmisión separados. Para la transferencia de archivos a su servidor web, le recomiendo que considere sftp (ftp sobre ssh) en lugar de NFS en su host accesible a Internet, a menos que esté seguro de haber restringido el acceso solo desde su LAN. La cantidad de seguridad que obtiene al colocar los hosts en subredes separadas depende de lo que configure en las reglas de firewall de pfSense: si permite todo, entonces solo habrá bloqueado el descubrimiento automático de redes: básicamente seguridad a través de la oscuridad. El beneficio de seguridad se produce cuando permite sólo las comunicaciones necesarias. En este caso, espero que permita conexiones desde su 'LAN' al servidor web, pero no permita que se inicie nada en la dirección inversa. A menos que NECESITE todo esto en una sola caja, para una configuración doméstica, me gustaría una caja dedicada para el firewall pfSense, en lugar de exponer una interfaz física ProxMox a Internet. No estoy diciendo que no puedas hacerlo. Tengo. Tengo una caja Debian en un centro de datos que ejecuta KVM/QEMU con pfSense en una máquina virtual que ejecuta OpenVPN, y algunas máquinas virtuales LAN y DMZ: básicamente era la LAN de la oficina de un cliente, y se hicieron lo suficientemente pequeñas como para cerrar su tienda física y ahora todos trabajan desde casa. Fue un ejercicio divertido, pero no creo que lo vuelva a hacer.