TifoziF1 Δημοσιεύτηκε Οκτώβριος 1, 2013 #1 Δημοσιεύτηκε Οκτώβριος 1, 2013 Έχω ένα μηχάνημα 24χ7 windows 7 με 2 VMs πάνω του (fileserver & domain / sourcesafe) και θέλω να στήσω άλλο ένα VM με κάποιο καλό firewall/proxy (free $$$) για να συνδέεται αυτό μεσω του router με internet και από κεί να μοιράζει στο υπόλοιπο δίκτυο.Λέω για ipcop ή pfsense. τι λέτε ? ποιο είναι το πιο εύκολο στο σετάρισμα και αν είναι δυνατόν να κάνει και antivirus check. Υπάρχει άλλη λύση ?
trendy Οκτώβριος 1, 2013 #2 Οκτώβριος 1, 2013 Καλές λύσεις είναι και οι 2 που έχεις επιλέξει. Εναλλακτικά παίζει και openwrt. Για αντιβιοτικό δεν ξέρω.
YDinopoulos Οκτώβριος 1, 2013 #3 Οκτώβριος 1, 2013 Θα προτεινα ενα μικρο μηχανακι (πχ alix) με ipfire. Μπορει να εχει και ClamAV, οπότε και να φιλτράρει κάποια πακέτα που μπορεί να εχουν καναν υιό.(εγώ αυτο εχω) Παντως καλο ειναι το firewall να μην ειναι vm, αλλα σε ξεχωριστό μηχάνημα. Sent from my Galaxy S4, using Tapatalk...
TifoziF1 Οκτώβριος 4, 2013 Author #4 Οκτώβριος 4, 2013 Παντως καλο ειναι το firewall να μην ειναι vm, αλλα σε ξεχωριστό μηχάνημα. Γιατί ? ΠΟΛΛΕΣ εταιρίες που φτιάχνουν h/w firewalls πλέον, πουλάνε και VM/virtualized firewalls Εχθές δοκίμασα αυτό που είναι και δωρεάν, Astaro Security Gateway Essential Firewall for VMware 5 λεπτά το σετάρισμα και είναι ΠΟΛΥ καλό με SOPHOS antivirus (web/email on-line realtime check).Μάλλον σ'αυτό θα μείνω.[MENTION=376]YDinopoulos[/MENTION] Φαντάσου ότι το HOST μηχάνημα έχει 2 NICs που βλέπουν στο πουθενά (δεν έχει ΚΑΝ ιντερνετ ή IP4/6 πρωτόκολλα σεταρισμένα) ενώ τα 2 VMs μέσα του αναλαμβάνουν να το μοιράσουν εν-σειρά.
YDinopoulos Οκτώβριος 4, 2013 #5 Οκτώβριος 4, 2013 Το ξερω οτι δινουν ετοιμα vm πακετα. Απλα πιστευω οτι το firewall πρεπει να ειναι σε δικο του hw μονο του. Δεν ειναι τυχαιο που μεγαλες εταιριες τυπου Watchguard πουλανε τα μηχανακια μοναχουλια. Και μοσχοπουλανε μαλιστα...
trendy Οκτώβριος 4, 2013 #6 Οκτώβριος 4, 2013 Είναι πιο επικερδές να πουλάς και σίδερα μαζί με το firewall, αλλά η δουλειά όλη γίνεται σε επίπεδο software. Το μόνο δύσκολο με το firewall σε vm είναι να είσαι σίγουρος ότι η κίνηση όλη περνάει μέσα από το firewall. Στα firewalls σε κουτί αυτό κανονίζεται με τα καλώδια. Στα vmάτα πρέπει να γίνει με vlans.
TifoziF1 Οκτώβριος 4, 2013 Author #7 Οκτώβριος 4, 2013 Τεσταρισμένο 101% Εσωτ.PCια<->switch<->Nic1<->VM1<->vlan<->VM2<->nic2<->modem/router (όποιος κρίκος τις αλυσίδας σπάσει δεν υπάρχει internet ουτε καν ping) το host machine (vanila win7sp1 x64 + vmware 9.0) δεν κάνει ΚΑΝ ping από πουθενά. Μοναξιεεέεες EDIT: Πήρα απάντηση από SOPHOS για το ευχαριστήριο email που έστειλα, τους ρώτησα επίσης αν έχουν παρόμοια (όχι virtualized) εφαρμογή για τα γνωστά NAS (qnap/synology) και μου είπαν ότι έχουν κάτι αλλά δεν μπορούν να δώσουν περισσότερες πληροφορίες. Λές να δούμε στα arm/x86 (2 nics) nasάκια Proxys με firewall/av/filter να μην παιδευόμαστε με το Squid ???? /crossing_fingers
minast Οκτώβριος 11, 2013 #8 Οκτώβριος 11, 2013 Καλά προφανώς το virtual vs physical δεν έχει μονοσήμαντη απάντηση. Όταν έχεις το host ήδη να τρέχει 24x7, δεν χάνεις τίποτα να βάλεις άλλο ένα vm, αν δεν έχεις ήδη μηχάνημα, η λύση με μικρό embedded είναι προτιμότερη. Αν θες και load balancing ή high availability πρέπει να έχεις τουλάχιστον 2 ανεξάρτητα host μηχανήματα για vms, ενώ αν δεν έχεις, πάλι τα 2 φυσικά είναι προτιμότερα. Αν πάμε σε paranoid mode, το host+vm έχουν ένα περισσότερο επίπεδο ευπάθειας που πρέπει να εξασφαλίσεις (το host). Και για να κλέψω λίγο και το θέμα: [MENTION=376]YDinopoulos[/MENTION] θυμάμαι ότι χρησιμοποιείς Alix 2D13. Ένα νέο board που έλεγαν ότι θα βγάλουν με Gbit NICs βλέπω ότι αργεί. Για proxy/firewall ΟΧΙ σε vm, έχει κανείς καμιά καλή πρόταση?
TifoziF1 Οκτώβριος 11, 2013 Author #9 Οκτώβριος 11, 2013 To high availability το έχουμε. Υπάρχει άλλο μηχάνημα που κάθετε (όχι 4πύρηνο αλλά 2πύρηνο) που έχει το VMware και με ένα απλό copy τα VMs έχω σε 10 λεπτά έτοιμο αντικαταστάτη. VMs rule ... Και για να κλέψω λίγο και το θέμα:[MENTION=376]YDinopoulos[/MENTION] θυμάμαι ότι χρησιμοποιείς Alix 2D13. Ένα νέο board που έλεγαν ότι θα βγάλουν με Gbit NICs βλέπω ότι αργεί. Για proxy/firewall ΟΧΙ σε vm, έχει κανείς καμιά καλή πρόταση? Για soho κάποιο ρουτερ με dd-wrt, ίσως ?edit: το POP3 mail cahing/scanning του Sophos τα σπάει: λαμβάνει κάθε μέρα 50-200ΜΒ σε email με attachemnets και τα μοιράζει σε 5 pc από την cache !! !!!
Recommended Posts
Archived
This topic is now archived and is closed to further replies.