Был Арендован сервер в дц Hezner, получена подсеть для виртуальных машин и дополнительный адрес для маршрутизации этой подсети.
На хост установили гипервизор vmWare ESXi 5
Если мною всё правильно было понято, то дальше для возможности использовать адреса из выделенной подсети необходимо установить и настроить виртуальную машину, которая станет выполнять роль шлюза. в качестве этой машины был выбран дистрибутив pfsense (возможно стоит пересмотреть выбор? найти что нибудь полегче/шустрее?)
на этой виртуальной машине было заведено 3 сетевых адаптера:
1. адаптер имеет дополнительный адрес, для маршрутизации
2. 192.168.1.1 для организации внутренней локальной сети
3. адаптер с 1м адресом из подсети — он будет выполнять роли шлюза
Далее создал экспериментальную ВМ, назначил ей второй адрес подсети, а шлюз — соответственно первым. сналету не заработало, виной тому оказался файрвол. после отключения его вроде всё стало замечательно.
так вот теперь вопрос:
1. насколько я понял эта виртуальная машина теперь будет стоять перед всеми ВМ в подведомственной подсети и весь трафик будет проходить через нее?
2. необходимо ли создавать какие нибудь правила чтобы работала маршрутизация? или, например если у нас будет ВМ с апачем на одном из IP, то достаточно в файрволе сделать правило, разрешающее пакеты на 80 порт этой ВМ? ну и соответственно, чтобы ходили пинги разрешить ICMP
3. как много ресурсов надо отдать этой шлюзовой машине?
4. при активном, правильно настроенном файрволе шлюза можно не заботится о фильтрации на конечных ВМ, чтобы не поднимать нагрузку?
5. ну и немного не по теме — какой дистрибутив предпочесть, чтобы развернуть на нем десяток ненагруженных сайтов (обыкновенный php+mysql+apache)?
1. Посмотрите на экран с вирт. адаптерами в настройках ESXi, и просто для себя нарисуйте картинку.
2. Вы спрашиваете что конкретно написать в конфигах pf?
3. Универсального ответа нет, оркестр из разнокалиберных виртуалок на ESXi может вытворять любые чудеса под нагрузкой. На все воля Великого Рандома.
4. Фильтрации на каком уровне? Транспортном, аппликационном, смотря от чего защищаемся?
Можно тупо зарезать лишние порты с определенных интерфейсов/подсетей (что есть ноль накладных расходов и спасет только от ботов, стучащихся в конкретные порты и пытающихся пробрутить сервисы, висящие на них), а можно поставить могучую комплексную систему IDS/IPS с игрищами и блудницами.
5. Берем самое распространенное, удобное и актуально поддерживаемое-обновляемое.
Debian/Ubuntu, CentOS, например.
1-2. нет, меня интересует не что конкретно надо прописать, а нет ли необходимых правил, чтобы всё правильно работало в этой подсети. т.е. для работы вебсервера надо апачу просто разрешить соединения и всё? служебные сервисы какие нибудь не нужны? вот я о чем.
4. это я имею ввиду, что я закрою все порты на pf, открою конкретно на нужные сервисы виртуалок и на виртуалках не буду поднимать файрвол. лишние же пакеты мимо файрвола шлюзовой ВМ не должны же пролезть?
хотя… если разносить сервисы по виртуалкам, то всё же лучше и на виртуалках закрывать порты на случай если одна из служб будет скомпрометирована. с одной ВМ на все, действительно в дополнительной фильтрации смысла не видно
Вот тут перевод затеян — habrahabr.ru/post/147864/ Не истина в последней инстанции, но и не идиотом писанная. На сколько я понимаю, вопрос не тривиальный, т.к. сколько народу — столько и мнений, а по виртуализации материала не особо много. Т.е. его до той бабушки, но меньше чем сисек.
С уодвольствием понаблюдаю за ответами тертых админов.
Средний
Сложный
