У меня есть виртуализированная инфраструктура с разделенными сетями (некоторые физически, некоторые просто по VLAN) для трафика iSCSI, трафика управления VMware, производственного трафика и т. д.
Конечно, рекомендуется не разрешать доступ из локальной сети, например, к сети iSCSI, по очевидным причинам безопасности и производительности, то же самое касается и DMZ/LAN и т. д.
Проблема в том, что на самом деле некоторые услугиделатьвремя от времени требуется доступ к сетям:
- Серверу мониторинга системы необходимо видеть хосты ESX и SAN для SNMP
- Для доступа к гостевой консоли VSphere необходим прямой доступ к хосту ESX, на котором запущена виртуальная машина.
- VMware Converter требует доступа к хосту ESX, на котором будет создана виртуальная машина.
- Система уведомлений по электронной почте SAN запрашивает доступ к нашему почтовому серверу
Вместо того, чтобы полностью открывать всю сеть, я бы хотел установить межсетевой экран, охватывающий все эти сети, чтобы я мог разрешить только необходимый доступ.
Например:
- SAN > SMTP-сервер для электронной почты
- Управление > SAN для мониторинга через SNMP
- Управление > ESX для мониторинга через SNMP
- Целевой сервер > ESX для VMConverter
Может ли кто-нибудь порекомендовать бесплатный брандмауэр, который позволит делать подобные вещи без необходимости слишком глубокого редактирования конфигурационных файлов?
Раньше я использовал такие продукты, как IPcop, и, похоже, этого можно добиться с помощью этого продукта, если переосмыслить их идеи «WAN», «WLAN» (красный/зеленый/оранжевый/синий интерфейсы), но мне было интересно, есть ли другие приемлемые продукты для такого рода задач.
Спасибо.
решение1
Если у вас Linux в миксе, вы можете использовать Shorewall. Он прост в настройке и позволяет легко определять правила, такие как вам нужно. Он имеет конфигурации по умолчанию для одного, двух и трех интерфейсов, которые являются хорошей отправной точкой. СмотритеШораллсайт.
решение2
В дополнение к тому, что перечислено выше.
Если ваша iSCSI SAN имеет несколько интерфейсов и/или интерфейс управления, вы можете рассмотреть возможность сделать вашу iSCSI Data VLAN немаршрутизируемой.
Оставьте интерфейс управления в маршрутизируемой VLAN, чтобы работала вся ваша электронная почта и SNMP, а затем просто перенесите все интерфейсы iSCSI в VLAN, не имеющую уровня 3.