Hyper-V下的虚拟防火墙？

我们目前正在考虑在基于Hyper-V R2的服务器上安装pfSense实例，以充当内容过滤器，强制门户和通用防火墙。

尽管虚拟化防火墙/网关通常是不好的做法。.有时您必须使用已有的东西！:)

我们有2个物理NIC。1个面向Internet（WAN），另1个面向内部LAN。

如何确保所有互联网访问都通过pfSense VM？

是否有配置消除了pfSense VM绕过LAN NIC的流量的可能性？

抱歉，如果这是一个愚蠢的问题，我今天是开发人员：D

卫斯理说的话 ...再加上一张图：

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

实际上，可以在Hyper-V主机上为WAN和LAN使用相同的NIC，但是您需要设置vLAN并需要支持它们的交换机。它很快就会变得混乱，并且NIC相当便宜。记下有关NIC芯片的注意事项，例如Intel，Broadcom等，请选择优质的芯片。远离Realtek，Marvel和便宜的DIY主板上的大多数机载芯片。它们不过是虚拟化环境的麻烦。

另外，请记住，Hyper-V是裸机虚拟机管理程序。它不是在Windows中运行的服务。以前在计算机上进行Windows安装会变成特殊的VM。出于简单性和可用性的原因，情况似乎并非如此，但是在您执行诸如设置Hyper-V网络之类的操作时就会起作用。

只需将所有PC，交换机，路由器等网络基础设施设置为使用pfsense虚拟机作为其默认网关，所有流量都将通过内容过滤器。

当然，有人可以将网络电缆从服务器中拉出来并将其PC直接插入您的WAN。您可以设置某种MAC过滤或802.1x身份验证来实施端口级安全性。当然，也可以有人绕线。关键是：有时候您只是依靠“我拥有服务器机房的密码和钥匙，而您没有。”

只需将网关设置为默认网关/路由器，并且网络上没有任何其他路由选项，就可以防止所有插座，除非有人冲入服务器机柜并用电缆乱跳。