http://proxmox.su Новое в теме Как защитить ProxMox с помощью виртуального файрвола? форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 16:06:10 +0300 Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
@Ovidiu, из тех прилагательных, которыми я описал бы Rackspace, слово «недорогой» точно не в числе. Настроить это легко, но без внешнего управления, такого как Drac, вы немного ограничены. Я заметил ошибку в своём предыдущем сообщении, но главное — это bridge_ports none. Я забыл указать IP-адрес на внутреннем интерфейсе гипервизора.
16.01.2017 23:08:00, Denny.]]> http://proxmox.su/forum/messages/forum63/message356626/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356626/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Mon, 16 Jan 2017 23:08:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
@Denny: спасибо, всё выглядит довольно просто. Сначала протестирую это в лаборатории. Я рассматривал аренду базового сервера, который бы покрывал мои нужды примерно за 150$ в месяц (могу использовать ProxMox или VMware, у меня есть запасная лицензия). Не уверен, что можно получить за такие деньги в облачных сервисах. Можешь написать мне в личку, я посмотрел сайт Rackspace, но цен для моих задач там не нашёл. Там всё "свяжитесь с нами для получения цен", но, думаю, это будет значительно дороже, чем я рассчитываю.
16.01.2017 22:34:00, Ovidiu.]]> http://proxmox.su/forum/messages/forum63/message356625/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356625/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Mon, 16 Jan 2017 22:34:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Всё довольно просто, прежде всего вам не нужны никакие bonded интерфейсы, а внутренний сетевой мост (vmbr0 выше) выглядит так:

auto vmbr0  
iface vmbr0 inet manual  
bridge_ports none  
bridge_stp off  
bridge_fd 0  

Учтите, что с такой настройкой вы потеряете доступ к гипервизору, если фаерволл-виртуальная машина упадёт (если только у вас нет доступа через drac или что-то похожее).

Вы рассматриваете колокацию или облачную инфраструктуру? Я понимаю, где Proxmox подходит в дизайне колокации, но если бы вы использовали облачные сервисы провайдера, свой гипервизор бы не понадобился. Rackspace (знаю их очень хорошо, я там работал), AWS и многие другие предоставляют всё необходимое, включая балансировщики нагрузки и WAF.
15.01.2017 19:41:00, Denny.]]> http://proxmox.su/forum/messages/forum63/message356624/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356624/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Sun, 15 Jan 2017 19:41:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, @Denny, спасибо большое за детали — они очень помогли. У меня был теоретический вопрос, потому что в компании, где я сейчас работаю, кто-то предложил перенести несколько Linux-серверов из нашей DMZ на облачный сервер. Я изучил наши потребности и понял, что нам нужен будет всего лишь небольшой или средний root-сервер и пара виртуальных машин, на которых нет никаких критически важных сервисов. Так как я предпочитаю ProxMox, я посмотрел, как это можно реализовать, хотя у нас все ещё есть свободная лицензия VMware, так что это тоже вариант. В общем, я думал разместить гипервизор в облаке с несколькими ВМ и хотел их защитить. Внутренняя сеть не нужна вообще. Я знаю, что в гипервизорах обычно есть встроенный файервол и защита, но решил использовать эту возможность, чтобы научиться чему-то новому, и мне интересно было посмотреть opnsense. Интересно узнать, что ты рассказал по этому поводу здесь:
15.01.2017 11:38:00, Ovidiu.]]> http://proxmox.su/forum/messages/forum63/message356623/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356623/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Sun, 15 Jan 2017 11:38:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Перечитывая твой вопрос в самом начале этой темы, мне кажется, что я представляю себе внутреннюю физическую сеть, поддерживаемую виртуальными машинами на этой сети и защищённую файрволом в виде виртуальной машины. Ты об этом вообще не упоминал, поэтому нужно уточнить: так ли это на самом деле, или тебе нужно было защитить только виртуальные машины на хосте, без необходимости обеспечивать связь с какой-то внутренней сетью за пределами хоста? Второй вариант возможен без использования VLAN или второго сетевого адаптера.
15.01.2017 05:58:00, Denny.]]> http://proxmox.su/forum/messages/forum63/message356622/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356622/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Sun, 15 Jan 2017 05:58:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Словом не говорю, что мой интернет-демаркационный (оптоволоконный) кабель подключён к порту 2 на моём коммутаторе. Хосты Proxmox подключены к портам 1, 4, 5 и 7 на том же коммутаторе. Таким образом, соединение с интернетом идёт по VLAN 9. Внутренний трафик ходит по VLAN 1 и при этом не помечен тегами. Возможно, для домашней сети это и выглядит сложно, но на самом деле не так уж и запутано.
15.01.2017 03:45:00, Denny.]]> http://proxmox.su/forum/messages/forum63/message356621/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356621/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Sun, 15 Jan 2017 03:45:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Думаю, я склоняюсь к ответу, который вам не понравится. Либо нужны несколько сетевых карт, либо несколько VLAN’ов. Как-то разделить внутренний и внешний трафик всё же надо. Это совпадает с моей схемой, которую я описывал ранее и подробно показал в файле interfaces.
15.01.2017 03:29:00, Denny.]]> http://proxmox.su/forum/messages/forum63/message356620/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356620/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Sun, 15 Jan 2017 03:29:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Спасибо за всю информацию, ребята, рисунок просто отличный, НО: похоже, это будет работать только с 2 физическими сетевыми картами, а я хотел понять, как это сделать с одной физической сетевой картой на гипервизоре. Я что-то неправильно понимаю или это вообще невозможно? ###edit### Извиняюсь, если завёл обсуждение в неверное русло, думал, что одна физическая сетевая карта в моём первом рисунке была замечена
14.01.2017 19:43:00, Ovidiu.]]> http://proxmox.su/forum/messages/forum63/message356619/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356619/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Sat, 14 Jan 2017 19:43:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Чуть-чуть для уверенности — у меня почти точно такая же настройка. Один интерфейс, куда подключен мой кабельный модем, идёт на один бридж, а другой бридж соединён с транком на моём VLAN-коммутаторе. pfSense — это устройство уровня L3, которое роутит между ними (а ещё выполняет функции файрвола и NATа). У меня ещё несколько VLAN: один для клиентов, один для серверов и ещё один — как транзитный VLAN на уровне L3. Чтобы всё это работало, я отмечаю галочку «VLAN Aware» на бридже и потом добавляю VLANы в pfSense.
11.01.2017 22:44:00, boopzz.]]> http://proxmox.su/forum/messages/forum63/message356618/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356618/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Wed, 11 Jan 2017 22:44:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Вот что я имею в виду В этом рисунке BR0 — внешний (интернет) мост. Он связан с eth0 и подключен к вашей демаркации. BR1 представляет внутреннюю сеть и связан с eth1. Единственная машина (виртуальная), подключённая к BR0 — это устройство firewall/UTM (например, pfsense), у которого есть публичный IP-адрес. Фаервол также подключён к внутренней сети, чтобы пропускать проверенный трафик туда и обратно. Все обычные виртуальные машины подключаются только к BR1 и поэтому обязаны проходить через фаервол, чтобы выйти в интернет. Стоит отметить, что BR1 имеет внутренний IP-адрес, который даёт доступ к гипервизору. Если хочешь настроить DMZ-среду, я могу изменить рисунок и показать это. Надеюсь, это поможет — иногда я могу слишком запутанно объяснять.
11.01.2017 03:25:00, Denny.]]> http://proxmox.su/forum/messages/forum63/message356617/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356617/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Wed, 11 Jan 2017 03:25:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Теперь схема у меня правильно выглядит? Верхняя — это исходная, текущая конфигурация, нижняя — то, что я понял из твоих объяснений. Думаю, я всё понял верно: мосту IP не нужен, так что на нижней схеме входящие запросы на IP гипервизора или любого из гостевых ОС попадут на мост wan0, откуда их виртуальный файрвол через br0 направит на соответствующие сетевые интерфейсы, верно? Выглядит слишком замороченно, чтобы так на живом сервере делать, просто пытаюсь разобраться. Кстати, такое вообще может сработать на других гипервизорах? Например, на VMware, или там надо как-то по-другому всё делать?
10.01.2017 15:27:00, Ovidiu.]]> http://proxmox.su/forum/messages/forum63/message356616/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356616/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Tue, 10 Jan 2017 15:27:00 +0300 Proxmox Виртуальная Среда Как защитить ProxMox с помощью виртуального файрвола? Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я хочу запустить виртуальное FW-устройство на ProxMox и хочу, чтобы оно защищало весь входящий трафик — как для гипервизора, так и для всех гостей, но не совсем понимаю, как должна выглядеть сетевая часть. Прикрепил схему текущей ситуации. Буду признателен за любые советы, как это реализовать. На следующем этапе хотел бы, чтобы и исходящий трафик тоже проходил через этот FW, но, думаю, для этого достаточно просто сделать FW шлюзом для гипервизора и гостей?
26.12.2016 17:27:00, Ovidiu.]]> http://proxmox.su/forum/messages/forum63/message356615/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola http://proxmox.su/forum/messages/forum63/message356615/81369-kak-zashchitit-proxmox-s-pomoshchyu-virtualnogo-fayrvola Mon, 26 Dec 2016 17:27:00 +0300 Proxmox Виртуальная Среда