Virtualni router

Router ni firewall!!!

Adminer je 29. avg 2014 ob 02:04 izjavil:

Vem da ni firewall ampak vsebuje nek firewall ne?

Ne. Preberi si malo o omrežjih na OSI nivoju 3.

Adminer je 29. avg 2014 ob 02:04 izjavil:

Vem da ni firewall ampak vsebuje nek firewall ne?

Oziroma je možno narediti virtualni firewall?

Firewall my ass. NAT ni firewall.

Bože mili, kaj udrihate po revežu, v resnici pa še sami nimate pojma!

Tako za Hyper-V, kot tudi za VMware se dobijo virtualni firewall-i, ki jih namestiš kot dodatno virtualno mašino. Tako kot imaš na fizičnem firewall-u več izhodov, na katerih si skonfiguriraš ločena omrežja, se tudi v virtualnem okolju izkoristi virtualna omrežja, na katera potem povežeš posamezne virtualke, ki jih želiš ščititi.

Nekateri virtualni firewall-i so 'multitenant' (podpirajo različne konfiguracije za različne uporabnike), drugi to niso in moraši za različne uporabnike nameščati več kopij virtualne požarne pregrade. (Tu je mišljeno, če ponujaš gostovanja in vsaka gostovana stranka želi imeti popolnoma ločene nastavitve od ostalih strank, ki jih gostiš v svojem virtualnem okolju).

V tvojem primeru predvidevam, da gre za tvoj lastni strežnik in virtualke. V tem primeru zadošča ena sama kopija virtualnega firewall-a. Virtualke lahko postaviš vse na isto virtualno omrežje (če se smejo videti med seboj), ali pa vsako na svoje virtualno omrežje, če morajo biti med seboj izolirane.

Ostalo je stvar konfiguriranja same virtualne požarne pregrade, ki pa je praktično identično od konfiguriranja fizične požarne pregrade.

Žal nisi navedel, če si home ali 'corporate' uporabnik, kakor tudi ne kaj pravzaprav pričakuješ - zgolj packet filter ali še kaj več.

SeMiNeSanja je 29. avg 2014 ob 19:39 izjavil:

Žal nisi navedel, če si home ali 'corporate' uporabnik, kakor tudi ne kaj pravzaprav pričakuješ - zgolj packet filter ali še kaj več.

Za kontekst, ta zgodba se je začela tukaj. Vmes se je sicer pojavil še Xen, ampak to ni kaj dosti spremenilo stanja.

Moj namen ni, da te bi kritiziral, samo na vprašanje o naravi težave (domača vs. poslovna) sem želel odgovoriti.

AndrejO je 30. avg 2014 ob 14:17 izjavil:

Moj namen ni, da te bi kritiziral, samo na vprašanje o naravi težave (domača vs. poslovna) sem želel odgovoriti.

Tudi nisem razumel kot kritiko. Ostalo pa je tudi meni postalo jasno (domače vs. poslovno), tik za tem, ko sem stisnil 'pošlji'.

Drugače pa moraš priznat OP-u, da počasi napreduje. Glede na prva vprašanja, ki so bila 'banalna', počasi prehaja k nekoliko bolj konkretnim vprašanjem. Še dve leti, pa se bo mogoče že dalo tudi kaj konkretnega diskutirati z njim, če bo tako zagreto nadaljeval.

Adminer je 30. avg 2014 ob 14:49 izjavil:

Gre za poslovno.

Hvala ti SeMiNeSanja samo me zanima to potem v Hyper-v dam vse virtualke katere hočem ščitit v isto omrežje na katerega sem dal firewall?

Če si prebral, kar sem napisal o virtualnih firewall-ih, sem na to vprašanje že odgovoril: lahko jih daš, ni pa nujno, saj imaš na Hypr-V na voljo do 8 virtualnih mrež (10 na VMware) in si stvari prilagodiš svojim potrebam oz. potrebam strank.
Poleg samih virtualnih mrež pa imaš lahko še VLAN-e.

Ni pa nujno, da je vsa stvar zgolj virtualna - če v mašino s Hyper-V (ali VMware)natlačiš 8 ali 10 mrežnih kartic (oz. kartico s toliko priključki), lahko virtualna omrežja povežeš v bridge s temi fizičnimi priključki.

Recimo, da imaš stranko, ki bi k tebi postavila svoj strežnik, poleg tega pa imela še eno virtualko, lahko oboje daš na skupno omrežje (virtualno+fizično) in stranki omogočiš VPN povezavo v to omrežje.

Scenarijev imaš cel kup, vedno pa je odvisno, kaj je v danem primeru potrebno skombinirati, kakšne stranke gostiš, kakšne aplikacije bodo tekle zadaj, kakšne so varnostne zahteve.
Pri zahtevnejših strankah ne bo dovolj, da boš rekel 'ja, imam požarno pregrado', ampak bo stranka hotela točno vedeti, kako je ta skonfigurirana in predpisala minimalne zahteve. Morda jo bo hotela celo sama upravljati? Lahko da bo stranka hotela tudi vpogled v loge na požarni pregradi, da bo lahko nadzirala, kaj se je dogajalo na 'njenem' omrežju.
Te stavri sicer že krepko presegajo nivo tipičnega 'osnovnega gostovanja' in se seveda dodatno zaračunavajo stranki.

Za tak nivo, kot se ga ti greš, bo za začetek zadoščala kakšna zastonjska ali pocenska virtualna požarna pregrada, ki ne nudi kaj dosti več, kot packet filter in mogoče še SSL ali IPSec VPN. Malo pogooglaj in se poigraj z variantami, da vidiš, kaj zate v poštev pride.

Spodoben virtualni firewall zmore tudi dhcp - kot sem že rekel, ne razlikuje se praktično v ničemer od fizičnega firewall-a.

Če pogledaš fizične požarne pregrade, jih pogosto poganja operacijski sistem, ki v osnovi izvira iz Linuxa ali BSD Unxia. Zato tudi ni nobeno presenečenje, da so proizvajalci zadeve uspeli prenesti v virtualna okolja, kjer nudijo skoraj enako funkcionalnost, kot fizične požarne pregrade.

Seveda pa odpade strojno pospeševanje enkripcije za VPN povezave.