在vmware esxi上安裝panabit實現連線管控(防火牆)的注意點

myskies發表於2023-02-09

背景:需要為團隊成員提供一些供測試用的伺服器,但考慮到成員的安全意識不統一,所以需要保證即使在這些測試伺服器出現安全問題時也不會影響到生產環境的伺服器。

當前所有的服務都安裝在了vmware exsi上,而panabit(用過的都說好)是優秀的流控管理軟體。

本文僅對一些需要注意的點做闡述。

網路規則

當前網路:

image.png

擬實現網路:

image.png

虛擬交換機

按規則我們僅需要再新增2個虛擬的交換機,然後在使用panabit來充當網橋連線3個交換機即可。

VMWare並不支援虛擬交換機的直接互聯

新增虛擬交換機

新增兩個虛擬交換機(生產伺服器與測試伺服器分別連到不同的交換機上),注意選中安全選項上的 混雜模式 及 偽訊號,否則panabit無法正常工作。

image.png

官方文件解釋如下:
image.png
image.png

同時需要保證歷史的埠組 在安全選項上同樣啟用了 混雜模式 及 偽訊號。

新增埠組

分別為新建的兩個交換機新增埠組,由於我們在交換機上做了安全配置,而埠組配置是繼承交換機的安全配置的,所以這裡所有的配置項都使用預設項即可。

如果我們需要使用歷史就建立好的埠組,則需要對其安全配置進行修改。

image.png

配置panabit

除了做網橋的網路卡外,panabit還需要一個單獨的網路卡要做管理。所以如果是管理單個網路,則需要為其配置3個網路卡,如果但我們當前需要管理2個網路,則需要配置5個網路卡。

image.png

而在作業系統的選項上,則可以選擇FreeBSD:

image.png

管理

panabit安裝完成後,我們透過chrome來訪問它即可。設定完網路介面後,再將其它的虛擬機器新增到指定的埠組中,便起到了被管理的作用。

接下來便可以透過 連線管理、流量管理、mac地址繫結等來設定一定的連線規則了。比如我們可以設定測試網路中的計算機僅能夠對生產環境下的計算機訪問特定的埠。

相關文章