Нужен ли iptables если сервер находится за PfSense?

asterisk, iptables, pfsense, port forwarding, proxmox

0

0

Здравствуйте, пользуюсь этим ресурсом давно, но только сейчас я решил зарегестрироваться, потому что не нашел четкого ответа на свой вопрос в интернете.

Есть у меня сервер из старенького пк, на нем стоит proxmox, а в proxmox уже несколько виртуальных машин на одной из них стоит PfSense через который проходит весь трафик со всех серверов включая сам proxmox, а так же сервер с asterisk.

Вопрос: Если мне все равно нужно пробрасывать порты в PfSense на каждый сервер, то есть ли какой то смысл в фаерволе iptables на этих серверах или можно просто вырубить на них iptables и не напрягаться?

←	Дилетантский вопрос по деанонимизации в TOR

keypass vs archived txt

→

Ухухуху тут от ситуации зависит, от того что за сервера и как они используются. Условно если один сервер ломанут из вне (каким-то образом), то смогут и на другие «постучать», но это уже решается через DMZ.

Если сервер «подкроватный» и pfsense грамотно настроил, то скорее нет чем да. Если корпоративный, то однозначно да еще и ограничить доступ пользователей из локалки к разным серверам.

Kolins ★★★
(15.11.23 19:57:08 MSK)

Ответ на: комментарий от Kolins 15.11.23 19:57:08 MSK

Сервера домашние, на одном стоит vpn для доступа из за границы, на втором asterisk (воткнул 3g модем и настраиваю сейчас sip телефонию, что бы мог звонить со своего номера и принимать звонки в любой точке мира), на третьем pfsense через который весь трафик идет. В общем для личных нужд, но не хотелось бы что бы взломали конечно, опыт с pfsense у меня минимальный, пока мало в чем разобрался, но надеюсь что там стоит защита от дурака и поумолчанию все настроено надежно, я по сути только настроил NAT и порты пробросил, все остальное пока остается как есть.

zwpp
(15.11.23 20:21:52 MSK) автор топика

Ответ на: комментарий от zwpp 15.11.23 20:21:52 MSK

Вместо этого виртуалочного бардака достаточно установить одну ОС и настроить разделение прав между демонами. Ну и файрволл этой ОС и использовать.

firkax ★★★★★
(15.11.23 21:11:28 MSK)

Ответ на: комментарий от firkax 15.11.23 21:11:28 MSK

Я понимаю, что можно так реализовать, но pfsense на этом сервере еще и раздает интернет всему дому, мне показалось удобнее использовать его для этих целей, плюс я считаю удобным когда каждые виртуальный сервер занят своим делом и всегда можно снести его или добавить новый без последствий для других серверов. Опять таки не известно каким проектом я займусь в следующий раз и виртуальные машины это очень удобно, возможность установки разных ОС тоже радует, да и когда все в одном месте то риски выше при неудачном обновлении или том же взломе.

zwpp
(15.11.23 22:19:03 MSK) автор топика

Ответ на: комментарий от zwpp 15.11.23 20:21:52 MSK

Я pfSense очень давно ковырял и дефолты не помню, для дома такая схема сойдет если pfSense нормально настроен

Kolins ★★★
(16.11.23 09:53:24 MSK)

Ответ на: комментарий от zwpp 15.11.23 22:19:03 MSK

Виртуалки - это удобно, все правильно делаешь. Я бы, конечно, аппаратный роутер поставил но твоя схема - это лучше чем ничего или сам pve выставлять в интернет в качестве шлюза (что в принципе реализуемо).

Kolins ★★★
(16.11.23 09:54:48 MSK)

Защита должна быть глубоэшелонированной. Простые фильтры на закрытие ненужных портов, имхо, были бы полезны на виртуалках.

soomrack ★★★★
(18.11.23 10:52:02 MSK)

←	Дилетантский вопрос по деанонимизации в TOR

Security

keypass vs archived txt

→

Похожие темы