박문형 2015-02

공유기도 어느정도 방화벽 기능이 있으니 셋팅해보시고

그래도 뚤리면 중간에 진짜 방화벽을 놓아야죠..

대한민국 2015-02

박문형님 감사드립니다^^
혹시 공유기로 세팅하게 되는경우에는 L2스위치에서 공유기로 듀얼WAN이라 하더라도 2개밖에 꼽을수가 없는데요...혹시 더 늘릴수 있는 방법이 있는지요...?

PiPPuuP 2015-02

https://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html
좀더 찾아보아야 겠지만 방법은 있을거 같습니다.

대한민국 2015-02

우어... 답변감사드립니다....
어렵긴하지만 정독해보겠습니다!!^^

천외천oo노… 2015-02

vSwitch 를 추가로 하나 더 만들어서 esxi 의 management port 를 옮겨버리세요.
랜포트를 하나 손해보기는 하지만...바깥으로 열리지 않으니 좀 더 안전합니다.

답글로 이미지 첨부했습니다.

대한민국 2015-02

감사드립니다 노경혁님

그런데 궁금한것은 vSwitch를 만들어서 그 내부로 옮기게되면 안쪽에 있는 GUEST OS들은 내부로 설정되어서 좀더 안전하다는 말씀은 이해가 어느정도 갑니다

헌데 궁금한것은...외부에서 공격이 들어오면 타격이 되는 지점이 어디가 되는건가요?
ESXI자체가 L2에 연결되어있기때문에 esxi vSphere client쪽으로 공격이 들어오기도 하고 그러는데 말씀하신 세팅법대로 하면 이를 막을수 있는건지요...?

PiPPuuP 2015-02

이해가 잘 안되는데... 보호하고자 하는건 게스트들인가요?
ESXi를 보호하는건 노경혁님 안대로 하시면 확실합니다만...

게스트에 대한 root 접근을 내부에서만 하실 계획이라면
외부망에 방화벽을 두던가 하는 방식으로 보호해야 할거 같습니다.

qLAN ┬ Guest1
　　　├ Guest2
　　　├ Guest3
　　　└ Guest4

이걸

　　　(1)　　　(2)　ESXi Management Port ┬ Mainboard Embed Lan
qLAN ─ Firewall ┬──── Guest1 ────┤
　　　　　　　　├──── Guest2 ────┤
　　　　　　　　├──── Guest3 ────┤
　　　　　　　　└──── Guest4 ────┘

이런식으로요.
(1)은 그냥 vSwitch에qLAN 넣으시면 되고
(2)는 외부스위치 없이 구성하면 됩니다.

그 외에
빠시온님 블로그에 ESXi 자체 방화벽을 이용하는 법이 있습니다.
http://blog.pasion.kr/secure-esxi-firewall/

대한민국 2015-02

(1)과 (2)사이에 있는 firewall이 별도의 기기인가요?
현재 QLAN을 별도의 기기로 분리시키고 그 사이에 firewall 기기를 새로 넣고 esxi 기기를 놓으라는 말씀이신지요?
총 기기가 3대로 분리되는건가요?

현재 esxi로 들어오느는 접근시도 스크린샷을 답글로 달아놓았습니다..

PiPPuuP 2015-02

아니요. Firewall은 ESXi 내에 설치된 VM입니다.


              ESXi Host Server
　┌──────────────┐
　│　　　　　　　　 mPort ┐ 　 │
qLAN -(1)- fw  -(2)- guests ├ mLAN
　└──────────────┘
이렇게 하나의 서버 내에서 vSwitch와 VM들을 저렇게 나눈겁니다.

대한민국 2015-02

firewall을 vm을 이용해서도 설치가 가능한가요?
어떤것이 다루기 쉬운지 추천부탁드려도 될까요??

PiPPuuP 2015-02

pfSense나 untangle이 가장 무난하게 쉽습니다만...
용도에 따라 찾아보셔야 합니다.

천외천oo노… 2015-02

외부에 노출되는 게스트 OS 위치와는 별개로 가는게 좋습니다.

ESXi 를 관리하는 기능이 Management Network (아래부터는 줄여서 MN 으로 표기합니다) 입니다.
하나의 vSwitch 에 게스트 OS 와 MN 이 함께 붙어있으면 모든 랜포트에서 MN에 접속이 가능합니다.
일반 개인의 경우...이걸 손대는 경우가 거의 없으니...당연히 이걸 전제로 뚫으려고 하는거지요.

하지만 MN 을 다른 vSwitch 로 옮겨버리면 해당 vSwitch 에 할당된 랜포트를 통하지 않으면 MN 에 접속이 안됩니다.

그러니 외부망(인터넷망)에 직접 연결되어 있지 않도록 랜포트를 하나 구성하고 그쪽에 vSwitch 를 올린 다음 MN 을 그쪽으로 연결해버리면 외부망에서 직접적으로 접속할 수는 없게 됩니다.

즉...장비는 하나이지만...제가 말씀드린데로 설정하면...논리적으로는 외부망 -> vSwitch1 -> 넷기어 -> vSwitch2 -> MN 으로 연결되는 구조가 됩니다.

외부에서 보자면...기존에는 외부 IP 를 다이렉트로 연결하면 MN 이 존재하는 스위치에 연결되었지만...
말씀드린데로 설정을 바꾸면...다이렉트로 연결하면 MN 이 없는거죠.

ESXi 에 어떤 걸 올려두셨는지 잘 몰라서...정확히 말씀드리긴 어려운데...

저같은 경우는...방화벽을 통해 DMZ 와 내부망을 나누고...
게스트OS 가 올라간 vSwitch를 DMZ 쪽으로 연결하고...MN 이 올라간 vSwitch 는 내부망으로 연결해서 사용합니다. DMZ 와 내부망은 IP 대역부터 다르고...방화벽을 통하지 않으면 상호간에 넘어가지도 못합니다.
서버의 리모트 관리포트인 iLo 나 iDrac 도 내부망으로 연결되어있구요.

비슷하게 구성하시려면 ESXi 에 오픈소스 방화벽을 하나 올리시는 방법도 있습니다.

참고로...방화벽에서 포트를 막아버리는 방법도 있긴 합니다만...저는 물리적으로 나누는 걸 선호해서...............;;;;

무언가 주저리주저리 적은 것 같네요. 제가 전문분야가 서버관리가 아니다보니...간략하게 정리가 잘 안 되네요. ㅠㅠ
도움이 되셨으면 좋겠습니다.

대한민국 2015-02

일단 일하는 중이라 잠시 후 정독해보고 다시 질문해보도록 하겠습니다!! 정말감사드립니다!!^^