none
Правильная сеть в Hyper-V с точки зрения безопасности RRS feed

  • Вопрос

  • Здравствуйте.

    Планирую на Hyper-V развернуть Linux Debian, роль которого будет шлюз в интернет, файрвол, прокси.

    Прошу подсказать наиболее грамотную конфигурацию сетевых интерфейсов для виртуального сервера с точки зрения безопасности. Просто меня смущает необходимость выделения внутренних IP на NIC2 и NIC3 на хостовой ОС, ведь всё равно IP адреса будут использоваться непосредственно в гостевой ОС.

    В сети один домен и один лес.

    Хостовая машина в домене. На неё установлены три сетевых интерфейса (NIC1, NIC2, NIC3)

    Что я планирую сделать:

    NIC1 смотрит в локальную сеть. IP: 192.168.0.10

    В Hyper-V в диспетчере сети такая конфигурация:

    Firewall1 привязан к NIC2. Тип подключения: Внешнее. Совместное использование с управляющей ОС включено.

    Firewall2 привязан к NIC3. Тип подключения: Внешнее. Совместное использование с управляющей ОС включено.

    В хостовой ОС к Firewall1 привязан IP: 192.168.0.18, а к Firewall2 - 192.168.0.19.

    Устанавливаю Linux и уже в Linux в сетевых интерфейсах прописываю:

    Firewall1 (смотрит в интернет)

    IP: 10.10.10.10

    MASK: 255.255.255.240

    GATE: 10.10.10.11

    Firewall2 (смотрит в локальную сеть)

    IP: 192.168.0.20

    MASK: 255.255.255.0

    DNS1: 192.168.0.10

    DNS2: 192.168.0.12

    1 ноября 2010 г. 0:54

Ответы

  • В принципе, все верно.

    NIC1 для менеджмента хоста, трафик с NIC2 и NIC3 логичнее и правильнее разделить путем создания разных External-сетей. Что Вас конкретно еще смущает и останавливает от реализации такого решения? -)

    • Помечено в качестве ответа MaxRAF 1 ноября 2010 г. 22:42
    1 ноября 2010 г. 6:44
    Модератор

Все ответы

  • В принципе, все верно.

    NIC1 для менеджмента хоста, трафик с NIC2 и NIC3 логичнее и правильнее разделить путем создания разных External-сетей. Что Вас конкретно еще смущает и останавливает от реализации такого решения? -)

    • Помечено в качестве ответа MaxRAF 1 ноября 2010 г. 22:42
    1 ноября 2010 г. 6:44
    Модератор
  • В принципе, все верно.

    NIC1 для менеджмента хоста, трафик с NIC2 и NIC3 логичнее и правильнее разделить путем создания разных External-сетей. Что Вас конкретно еще смущает и останавливает от реализации такого решения? -)


    Да смущает, что и на хосте надо прописывать IP ко всем адаптерам и в гостевой к ним же - итого слишком много адресов уходит.

    Про поводу разных сетей не совсем понял. Имеете ввиду путём разделения на VLANы, которые есть в настройках виртуальной сети?

    1 ноября 2010 г. 7:17
  • Гм, а как Вы хотели реализовать виртуальные сети, не используя статические IP? Используйте DHCP для внутренних интерфейсов, например, там, где это возможно.

    Разные сети - имелась в виду сеть ISP и локальная.

    1 ноября 2010 г. 7:22
    Модератор
  • Разные сети - имелась в виду сеть ISP и локальная.


    Так я планирую сделать в гостевой ОС. Или надо не только в гостевой, но и на хосте?
    1 ноября 2010 г. 7:49
  • В гостевой.

    Шлюзом у Вас является виртуальная машина, на ней и прописывайте соответствующие адреса ISP и локальной сети. На сетевых интерфейсах на хоста, являющихся основой той или иной виртуальной сети, статику можно не прописывать.

    1 ноября 2010 г. 8:33
    Модератор
  • Денис, большое вам спасибо.
    1 ноября 2010 г. 22:42