Funker det med virtualisert firewall?

[Wattengård]

Jeg har én fysisk server. Denne skal primært brukes som filserver, men jeg tenkte kanskje å kjøre den som firewall også.

 

Vil det være gunstig å kjøre for eksempel m0n0wall eller Smoothwall eller IPCop eller lignende virtualisert på filserveren? Dedikere et nettverkskort til den og kjøre det virtuelle nettverkskortet som beskyttet sone? Evt. enda et dedikert nettverkskort som demilitarisert sone?

 

Eller bør jeg enkelt og greit bruke Shorewall eller lignende til å konfigurere iptables rett på filserveren?

 

-C-

[wsp]

Jeg har én fysisk server. Denne skal primært brukes som filserver, men jeg tenkte kanskje å kjøre den som firewall også.

 

Hei!

Dette er fullt mulig å gjennomføre. Med kun èn server, vil det kanskje være naturlig å bruke VMware Server til dette formålet. Du må da ha minst to fysiske nettverkskort i denne serveren og det ene kortet som vil bli det eksterne interfacet bør du da ikke sette noen ip-adresse på i host OS'et. Du nevner også DMZ her, og du kan med flere interfacer også gjennomføre dette, og da må du også passe på så det ikke blir satt ip på dette nettverkskortet i host OS'et. På det interfacet som skal stå mot det interne nettverket så kan du ha ip-adresse (såfremt du ikke etablerer et egen managementnett), slik at du har en ip du kan administrere ting fra.

 

Hvilket OS du velger som host OS er egentlig ikke så nøye, så det er en fordel om du velger det OS'et du kjenner best av de som er supportert (evt nært beslektet). Det er heller ikke veldig store ytelsesforskjeller mellom linux og windows.

 

I en virtuell firewall pr idag kan du med VMware Server 1.0.x ha maks 4 virtuelle interfacer pr gjest. I neste versjon (2.0) vil dette bli økt til 10. Til det miljøet du beskriver vil dette likevel være nok. Både m0n0wall, IPCop og flere andre firewaller finnes preinstallert som virtual appliances på VMware Virtual Appliance Marketplace - Security.

 

Lykke til!

 

Lars

[arne22]

Takker for gode ideer !

 

Var skeptisk til forslaget om virtuell firewall, men satte opp en etter å ha lest denne tråden.

 

Ser ut til å kjøre som et skudd ..

 

Bruker virtual Smoothwall.

 

Andre erfaringer ?

Endret 17. februar 2008 av arne22

[ThorB]

hvordan er ressursbruken på gjesteimaget for smoothwall?

kan du gi noen tall ?

[arne22]

Dette kjører hjemme hos mag, slik at jeg ikke har noen større mulighet for å gjøre noen større stressbelastning. Bruker ikke noen spesielt hurtig prosessor, Athlon 4600 og 4 GB RAM så vidt jeg husker.

 

Inntrykket er at når man kjører virtuell gateway pluss 4-5 virtuelle servere så ligger prosessorbelastningen stadig vekk ned mot 1-2 prosent eller likt med bare en av serverne eller gatewayen alene.

 

Dette gjelder når host system er 64 bit Linux (Centos 5.1) og guest system er 32 bit Linux eller Windows (Kjører en virtuell Windows 2000 Workstation, ettersom jeg syntes denne kjørte mer effektivt enn XP)

 

Hvis man benytter 64 bit klienter så blir bildet ikke så bra. Likeledes så må guestene settes opp som single core maskiner for maks effektivitet. (Min erfaring på min server.)