我有一個問題,如何在不同的家庭網路子網路(例如 192.168.1.1 和 10.0.0.1)之間將磁碟共用給不同的虛擬機器。在同一網路子網路中,我剛剛放置了一個 NFS 存儲,但如何設定才能使不同的網路子網路也可以存取它?
我想自行託管一個網站,但為了安全起見,將其放在與家中所有其他設備不同的網路子網路上。但是,不知何故我仍然需要共享儲存或至少一個資料夾。
與 Nextcloud 相同,我希望將其放在單獨的子網路上,但仍然可以存取我的主子網路。這樣一來,與我的家庭網路和暴露在網路上的內容相比,就有了一定的安全性和隔離性。
我的伺服器運行 Proxmox 5.1,目前僅 LXC,但對於外部託管網站和 Nextcloud,我計劃安裝 2 個使用兩個不同虛擬橋的獨立虛擬機器(防火牆是 pfsense,Proxmox 上的另一個虛擬機器)。
希望這是有道理的,謝謝您的幫助!
答案1
有很多問題需要解決,但讓我嘗試一下。首先:如果所有相關主機(VM)使用相同的 pfSense VM 作為其預設網關,那麼 pfSense 將知道如何在兩個方向上路由流量。下一步:您是否新增了防火牆規則以允許流量? pfSense 對於 (1) WAN + (1) LAN 有一些預設規則,以允許來自 LAN 的所有出口,但您新增的任何 OPT 介面都帶有預設拒絕規則。如果允許流量,則對特定主機/服務的明確請求應該可以工作,但要知道廣播流量(服務廣告/網路發現)將被阻止。單獨的子網路=單獨的廣播域。對於將檔案傳輸到您的 Web 伺服器,我建議您在可存取 Internet 的主機上考慮使用 sftp(透過 ssh 進行 ftp)而不是 NFS,除非您確定僅限制從 LAN 進行存取。透過將主機放在不同的子網路上獲得多少安全性完全取決於您在 pfSense 防火牆規則中配置的內容:如果您允許一切,那麼您只是阻止了自動網路發現:基本上是透過模糊來實現安全性。當您僅允許必要的通訊時,就會產生安全優勢。在這種情況下,我希望您允許從您的“LAN”到網路主機的連接,但不允許任何反向啟動的連接。除非您需要將所有這些集中在一個盒子中,否則對於家庭設置,我需要一個用於 pfSense 防火牆的專用盒子,而不是將 ProxMox 實體介面暴露到網路。我並不是說你做不到。我有。我有一個Debian 盒子,位於資料中心,在運行OpenVPN 的虛擬機器上運行KVM/QEMU 和pfSense,還有一些LAN 和DMZ 虛擬機器:基本上它是客戶的辦公室LAN,它們變得足夠小,因此關閉了實體,現在每個人都在家工作。這是一次有趣的練習,但我想我不會再這樣做了。