Tenho uma dúvida sobre como posso compartilhar um disco em diferentes sub-redes da rede doméstica (por exemplo, 192.168.1.1 e 10.0.0.1) para diferentes VMs. Dentro das mesmas sub-redes de rede, acabei de colocar um armazenamento NFS, mas como posso configurar para que ele também seja acessível por sub-redes de rede diferentes?
Quero hospedar um site por conta própria, mas, por segurança, coloque-o em uma sub-rede de rede separada de todos os meus outros dispositivos em casa. No entanto, de alguma forma ainda preciso compartilhar o armazenamento ou pelo menos uma pasta.
O mesmo acontece com o Nextcloud, quero ter isso em uma sub-rede separada, mas ainda acessível à minha sub-rede principal. Só para que haja alguma segurança e separação da minha rede doméstica com o que está exposto à internet.
Meu servidor executa Proxmox 5.1, atualmente apenas LXC, mas para o site hospedado externamente e Nextcloud estou planejando instalar 2 VMs separadas que usam duas pontes virtuais diferentes (firewall é pfsense, outra VM no Proxmox).
Espero que faça sentido, obrigado pela sua ajuda!
Responder1
Há muito para abordar, mas deixe-me tentar. Primeiro: se todos os hosts (VMs) envolvidos usarem a mesma VM pfSense como gateway padrão, o pfSense saberá como rotear o tráfego em ambas as direções. Próximo: você adicionou regras de firewall para permitir o tráfego? O pfSense tem algumas regras padrão para (1) WAN + (1) LAN para permitir todas as saídas da LAN, mas qualquer interface OPT que você adicionar vem com uma regra de negação padrão. Se o tráfego for permitido, uma solicitação explícita para um host/serviço específico deverá funcionar, mas saiba que o tráfego de transmissão (publicidade de serviço/descoberta de rede) será bloqueado. Sub-redes separadas = domínios de transmissão separados. Para transferência de arquivos para o seu servidor web, recomendo que você considere o sftp (ftp sobre ssh) em vez do NFS no seu host acessível pela Internet, a menos que tenha certeza de que restringiu o acesso apenas da sua LAN. A quantidade de segurança que você obtém ao colocar os hosts em sub-redes separadas depende do que você configura nas regras de firewall do pfSense: se você permitir tudo, então você bloqueou apenas a descoberta automática de rede: basicamente segurança através da obscuridade. O benefício de segurança ocorre quando você permite apenas as comunicações necessárias. Nesse caso, espero que você permita conexões da sua 'LAN' ao host da web, mas não permita nada iniciado na direção inversa. A menos que você PRECISE de tudo isso em uma caixa, para uma configuração doméstica, eu gostaria de uma caixa dedicada para o firewall pfSense, em vez de expor uma interface física ProxMox à Internet. Não estou dizendo que você não pode fazer isso. Eu tenho. Eu tenho uma caixa Debian em um datacenter rodando KVM/QEMU com pfSense em uma VM rodando OpenVPN e algumas VMs LAN e DMZ: basicamente era a LAN do escritório de um cliente, e eles ficaram pequenos o suficiente para fecharem suas lojas físicas e agora todo mundo trabalha em casa. Foi um exercício divertido, mas acho que não farei isso de novo.