У меня есть вопрос, как я могу разделить диск между различными подсетями домашней сети (например, 192.168.1.1 и 10.0.0.1) для разных виртуальных машин. В одной и той же сетевой подсети я просто установил хранилище NFS, но как я могу настроить его так, чтобы он также был доступен для других сетевых подсетей?

Я хочу самостоятельно разместить веб-сайт, но в целях безопасности поместите его в отдельную сетевую подсеть на все остальные мои домашние устройства. Тем не менее, каким-то образом мне все еще нужно разделить хранилище или хотя бы папку.

То же самое с Nextcloud, я хочу иметь это в отдельной подсети, но все же быть доступным для моей основной подсети. Просто для того, чтобы по сравнению с моей домашней сетью существовала некоторая безопасность и разделение с тем, что открыто для Интернета.

Мой сервер работает под управлением Proxmox 5.1, в настоящее время только LXC, но для веб-сайта с внешним размещением и Nextcloud. Я планирую установить 2 отдельные виртуальные машины, которые используют два разных виртуальных моста (межсетевой экран - это pfsense, другая виртуальная машина на Proxmox).

Надеюсь, что это имеет смысл, спасибо за вашу помощь!

|источник

1 ответ1

0

Много адресовано, но позвольте мне попробовать. Во-первых: если все заинтересованные хосты (ВМ) используют ту же виртуальную машину pfSense, что и их шлюз по умолчанию, то pfSense будет знать, как маршрутизировать трафик в обоих направлениях. Далее: вы добавили правила брандмауэра, чтобы разрешить трафик? pfSense имеет некоторые правила по умолчанию для (1) WAN + (1) LAN, чтобы разрешить весь выход из LAN, но все добавляемые вами интерфейсы OPT поставляются с правилом Deny по умолчанию. Если трафик разрешен, должен работать явный запрос для конкретного хоста / службы, но знать, что широковещательный трафик (реклама службы / обнаружение сети) будет заблокирован. Отдельные подсети = отдельные широковещательные домены. Для передачи файлов на ваш веб-сервер я бы порекомендовал вам использовать sftp (ftp over ssh), а не NFS на вашем хосте, доступном через Интернет, если вы не уверены, что у вас ограничен доступ только из вашей локальной сети. Степень защиты, которую вы получаете, размещая узлы в отдельных подсетях, зависит от того, что вы настраиваете в правилах брандмауэра pfSense: если вы разрешаете все, вы блокируете только автоматическое обнаружение сети: в основном безопасность через скрытность. Преимущество безопасности возникает, когда вы разрешаете только необходимые коммуникации. В этом случае я ожидаю, что вы разрешите соединения из вашей «локальной сети» с веб-хостом, но не разрешите ничего инициировать в обратном направлении. Если вам НЕ НУЖНО все это в одном блоке, для домашней установки я бы хотел выделить специальный блок для брандмауэра pfSense, а не открывать физический интерфейс ProxMox для Интернета. Я не говорю, что ты не можешь сделать это. Я имею. Я установил коробку Debian в центре обработки данных, где работает KVM / QEMU с pfSense на виртуальной машине, на которой работает OpenVPN, и несколько виртуальных машин LAN и DMZ: в основном это была офисная локальная сеть клиента, и они стали достаточно маленькими, закрыв свой кирпич и миномет, и теперь все работают из дома. Это было забавное упражнение, но я не думаю, что сделаю это снова.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .