Tengo una infraestructura virtualizada aquí, con redes separadas (algunas físicamente, otras solo por VLAN) para tráfico iSCSI, tráfico de gestión de VMware, tráfico de producción, etc.
Por supuesto, las recomendaciones son no permitir el acceso desde la LAN a la red iSCSI, por ejemplo, por razones obvias de seguridad y rendimiento, y lo mismo entre DMZ/LAN, etc.
El problema que tengo es que en realidad algunos servicioshacernecesita acceso a través de las redes de vez en cuando:
- El servidor de monitoreo del sistema necesita ver los hosts ESX y SAN para SNMP
- El acceso a la consola invitada de VSphere necesita acceso directo al host ESX en el que se ejecuta la VM
- VMware Converter desea acceder al host ESX en el que se creará la VM
- El sistema de notificación por correo electrónico SAN quiere acceder a nuestro servidor de correo
En lugar de abrir violentamente toda la red, me gustaría colocar un firewall que abarque estas redes, para poder permitir solo el acceso requerido.
Por ejemplo:
- SAN > Servidor SMTP para correo electrónico
- Gestión > SAN para monitorización vía SNMP
- Gestión > ESX para monitoreo vía SNMP
- Servidor de destino > ESX para VMConverter
¿Alguien puede recomendar un firewall gratuito que permita este tipo de cosas sin demasiados ajustes de bajo nivel en los archivos de configuración?
He usado productos como IPcop antes, y parece posible lograrlo usando ese producto si reutilizo sus ideas de "WAN", "WLAN" (las interfaces roja/verde/naranja/azul), pero Me preguntaba si había otros productos aceptados para este tipo de cosas.
Gracias.
Respuesta1
Si tienes Linux en la mezcla, puedes usar Shorewall. Es fácil de configurar y permite especificar fácilmente las reglas que necesite. Tiene configuraciones predeterminadas para una, dos y tres interfaces que constituyen un buen punto de partida. Ver elCostasitio.
Respuesta2
Además de lo que se enumera anteriormente.
Suponiendo que su SAN iSCSI tiene múltiples interfaces y/o una interfaz de administración, es posible que desee considerar hacer que su VLAN de datos iSCSI no esté enrutada.
Deje la interfaz de administración en una VLAN enrutada para que todos sus correos electrónicos y SNMP funcionen y luego simplemente etiquete todas sus interfaces iSCSI en una VLAN que no tenga capa 3.