Насколько безопасно firewall внутри VM proxmox?

Question

VRS @citmai

Насколько безопасно firewall внутри VM proxmox?

Есть виртуальная машина(гипервизор proxmox) там установлен pfsense. Есть настроенные виртуальные интерфейсы 2 штуки внутри vm они через гипервизор по мосту соединены с физическими, то есть

vmb1 to real1 WAN  "LINUX Bridge"
vmb2 to real2 LAN   "LINUX Bridge"

Виртуальная машина работает как шлюз. Физически и виртуально эти два сетевых интерфейса разные. Так же для доступа к proxmox есть еще один отдельный физический интерфейс в другую подсеть.

Вопрос в том насколько надежна изоляция сетевых интерфейсов в proxmox и есть ли шанс на то что смогут как-то залезть внутрь гипервизора? Если могут вломится то как прикрыть эту возможность?

Вопрос задан более трёх лет назад
304 просмотра

2 комментария

Подписаться 1 Средний 2 комментария

hint000 @hint000

Если на хосте ничего дырявого не запущено, то вломиться оч-чень сложно. Но всё же зачем firewall засовывать внутрь VM? Временами я запускал VM на том же хосте, где был firewall, но firewall всегда был на самом хосте, не в VM, просто не вижу в этом смысла.

Написано более трёх лет назад
VRS @citmai Автор вопроса

hint000, Нет отдельного железа для firewall, плюс надо было виртуальные сервера разместить с возможностью их перенести, если потребуется. Потому взял pfsense, а за ним разместил виртуальные сервера. Получилась изолированая от всего сеть и достаточно защищеная, как я предполагаю. На хосте ничего нет кроме proxmox и зайти на него можно только с другой сети. В том и вопрос если вломятся на виртуальные машины, смогут залезть дальше на гипервизор или нет. Может перенастроить бридж можно так что бы сам гипервизор подумал что он связан с другим физическим интерфейсом(только предполагаю, даже не представляю возможно ли это).

Написано более трёх лет назад

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 1

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Компьютерные сети

+1 ещё

Средний
Безопасно ли применение сканера в инфраструктуре подрядчика?
- 2 подписчика
- вчера
- 295 просмотров
2

ответа
Системное администрирование

+1 ещё

Простой
Почему ESXi не тянет 10 гбит?
- 4 подписчика
- вчера
- 613 просмотров
1

ответ
Системное администрирование

+1 ещё

Простой
Как изменить активы в GLPI?
- 2 подписчика
- вчера
- 127 просмотров
1

ответ
Системное администрирование

+1 ещё

Средний
Возможно ли пробросить подсети белых IP через L3-туннель?
- 2 подписчика
- 15 дек.
- 546 просмотров
3

ответа
Proxmox

Простой
Виртуальный диск или проброс в Proxmox?
- 1 подписчик
- 15 дек.
- 68 просмотров
1

ответ
Windows

+2 ещё

Простой
Как настроить автоматическое подключение клиента OpenVPN до авторизации пользователя Windows?
- 2 подписчика
- 14 дек.
- 167 просмотров
2

ответа
Proxmox

+1 ещё

Средний
Proxmox Mail Gateway и Exchange 2010-2019. Домен из обратной DNS-зоны не соответствует домену отправителя. Как подменить HELO?
- 1 подписчик
- 14 дек.
- 49 просмотров
1

ответ
Windows

+4 ещё

Средний
Как отследить изменения в windows 10 на виртуальной машине?
- 2 подписчика
- 12 дек.
- 261 просмотр
3

ответа
Системное администрирование

+2 ещё

Простой
Кто отвечает за безопасность VPS?
- 2 подписчика
- 12 дек.
- 427 просмотров
5

ответов
Windows

+2 ещё

Простой
Почему при разархивировании папки, где хранится файл с именем на русском языке, он превращается в символы?
- 1 подписчик
- 11 дек.
- 159 просмотров
1

ответ
Показать ещё Загружается…

Системный администратор

Wanted. • Санкт-Петербург

До 100 000 ₽

Системный администратор в офис Москва

Whitewill • Москва

от 100 000 до 110 000 ₽

DevOps Engineer/System Administrator

Freuders

от 4 000 $

Несложная верстка из Figma bootstrap5 scss npm

18 дек. 2024, в 04:59

1000 руб./в час

Отправка команды на открытие всех окон автомобиля Chery Tiggo 7 Pro

18 дек. 2024, в 03:28

16000 руб./за проект

Установить музыкальный софт

18 дек. 2024, в 01:04

5000 руб./за проект

Если на хосте ничего дырявого не запущено, то вломиться оч-чень сложно. Но всё же зачем firewall засовывать внутрь VM? Временами я запускал VM на том же хосте, где был firewall, но firewall всегда был на самом хосте, не в VM, просто не вижу в этом смысла.
hint000, Нет отдельного железа для firewall, плюс надо было виртуальные сервера разместить с возможностью их перенести, если потребуется. Потому взял pfsense, а за ним разместил виртуальные сервера. Получилась изолированая от всего сеть и достаточно защищеная, как я предполагаю. На хосте ничего нет кроме proxmox и зайти на него можно только с другой сети. В том и вопрос если вломятся на виртуальные машины, смогут залезть дальше на гипервизор или нет. Может перенастроить бридж можно так что бы сам гипервизор подумал что он связан с другим физическим интерфейсом(только предполагаю, даже не представляю возможно ли это).

Answer 1 · 2020-06-23 10:41:52

У меня FreeBSD работала несколько лет виртуалкой - роутером, файрволлом и всем прочим - будучи ВМ на VmWare. Ничего не случилось :) Вопрос тут не в надежности изоляции сетевых интерфейсов, а в надежности изоляции ВМ от гипера и от соседних машин. Meltdown, спектра и иже с ними...

Answer 2 · 2020-06-22 15:21:59

ky0 @ky0 Куратор тега Системное администрирование

Миллиардер, филантроп, патологический лгун

Если на бриджах у сервера с гипервизором нет IP-адреса - как туда можно залезть?

Ответ написан более трёх лет назад

1 комментарий

Насколько безопасно firewall внутри VM proxmox?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт