我這裡有一個虛擬化基礎設施,具有用於 iSCSI 流量、VMware 管理流量、生產流量等的獨立網路(有些是實體網絡,有些只是透過 VLAN)。
當然,出於明顯的安全性和效能原因,建議不允許從 LAN 存取 iSCSI 網絡,DMZ/LAN 之間也是如此。
我遇到的問題是,實際上,有些服務做有時需要跨網路存取:
- 系統監控伺服器需要查看 ESX 主機和 SNMP 的 SAN
- VSphere 來賓控制台存取需要直接存取執行虛擬機器的 ESX 主機
- VMware Converter 希望存取將在其上建立虛擬機器的 ESX 主機
- SAN 電子郵件通知系統想要存取我們的郵件伺服器
我不想瘋狂地開放整個網絡,而是想放置一個跨越這些網絡的防火牆,這樣我就可以只允許所需的訪問
例如:
- SAN > 電子郵件的 SMTP 伺服器
- 管理 > SAN,用於透過 SNMP 進行監控
- 管理 > ESX,用於透過 SNMP 進行監控
- 目標伺服器 > VMConverter 的 ESX
有人可以推薦一個免費的防火牆,它可以允許這種事情,而無需對設定檔進行太多的低階修改嗎?
我以前使用過 IPcop 等產品,如果我重新利用他們的“WAN”、“WLAN”(紅/綠/橙/藍接口)的想法,似乎可以使用該產品來實現這一目標,但是想知道是否還有其他可接受的產品用於此類事情。
謝謝。
答案1
如果您混合使用 Linux,則可以使用 Shorewall。它易於配置,並允許輕鬆指定您需要的規則。它具有一個、兩個和三個介面的預設配置,這是一個很好的起點。請參閱蕭爾奧爾地點。
答案2
除了上面列出的內容之外。
假設您的 iSCSI SAN 具有多個接口和/或管理接口,您可能需要考慮將 iSCSI 資料 VLAN 設定為非路由。
將管理介面保留在路由 VLAN 上,以便所有電子郵件和 SNMP 正常運作,然後將所有 iSCSI 介面標記到沒有第 3 層的 VLAN 上。