Tenho aqui uma infraestrutura virtualizada, com redes separadas (algumas fisicamente, outras apenas por VLAN) para tráfego iSCSI, tráfego de gerenciamento VMware, tráfego de produção, etc.
As recomendações são, obviamente, não permitir o acesso da LAN à rede iSCSI, por exemplo, por razões óbvias de segurança e desempenho, e o mesmo entre DMZ/LAN, etc.
O problema que tenho é que, na realidade, alguns serviçosfazerprecisam de acesso através das redes de tempos em tempos:
- O servidor de monitoramento do sistema precisa ver os hosts ESX e a SAN para SNMP
- O acesso ao console convidado do VSphere precisa de acesso direto ao host ESX em que a VM está sendo executada
- VMware Converter deseja acesso ao host ESX no qual a VM será criada
- O sistema de notificação por e-mail SAN deseja acesso ao nosso servidor de e-mail
Em vez de abrir totalmente toda a rede, gostaria de colocar um firewall abrangendo essas redes, para poder permitir apenas o acesso necessário
Por exemplo:
- SAN > Servidor SMTP para e-mail
- Gerenciamento > SAN para monitoramento via SNMP
- Gerenciamento > ESX para monitoramento via SNMP
- Servidor de destino > ESX para VMConverter
Alguém pode recomendar um firewall gratuito que permita esse tipo de coisa sem muitos ajustes de baixo nível nos arquivos de configuração?
Já usei produtos como o IPcop antes e parece ser possível conseguir isso usando esse produto se eu reformular suas idéias de "WAN", "WLAN" (as interfaces vermelha/verde/laranja/azul), mas queria saber se havia algum outro produto aceito para esse tipo de coisa.
Obrigado.
Responder1
Se você tiver Linux incluído, poderá usar o Shorewall. É fácil de configurar e permite fácil especificação de regras conforme necessário. Possui configurações padrão para uma, duas e três interfaces que são um bom ponto de partida. Veja oShoreallsite.
Responder2
Além do que está listado acima.
Supondo que sua SAN iSCSI tenha múltiplas interfaces e/ou uma interface de gerenciamento, você pode considerar tornar sua VLAN de dados iSCSI não roteada.
Deixe a interface de gerenciamento em uma VLAN roteada para que todos os seus e-mails e SNMP funcionem e, em seguida, marque todas as suas interfaces iSCSI em uma VLAN que não tenha camada 3.