virtuelle Firewall härten
Verfasst: 27.10.2023, 14:41
Hi
Habe mir ein Supermicro Barebone mit E3-1281 v3, 32 GB RAM und 6x 10 Gbit RJ45 Kupfer geholt. Die CPU ist noch nicht da, im Moment steckt eine i3-4130T, welche VT-d nicht unterstützt.
Um dieses Board handelt es sich:
https://www.manualslib.com/manual/10457 ... Ln6tf.html
Habe da drauf den aktuellen ESXi 7, und da drunter eine Sophos installiert. Lüppt soweit ganz gut. vSphere 8 geht leider nicht auf der Plattform.
Fragt sich, ob das Sinn macht, das WAN direkt an einen vSwitch zu hängen. Das WAN an die Sophos durchreichen kann ich im Moment nicht testen, da die CPU kein VT-d bietet. Aber ist eh mehr als fraglich, ob ich da eine einzelne X-540 durchreichen könnte, weil die drei X-540 hängen alle hinter einem PLX Chip.
Wäre mir eh lieber, wenn ich das ohne durchreichen lösen könnte. Weil dann kann ich das WAN auch an anderen VMs noch brauchen. Der ESXi selbst hängt natürlich dabei nicht im WAN, aber gegebenenfalls am selben Controller.
Hole ich mir da ein potentielles Sicherheitsrisiko ins Haus, oder kann man das machen? Ist jetzt auch nicht eine AKW Steuerung dahinter, aber soll halt schon kein offenes Scheunentor sein. Sonst müsste ich auf vSphere als Unterbau verzichten, was ich nur ungern machen würde.
So wäre mir das am liebsten:
Hat da wer Tipps dazu?
Bzw. kann ich das so laufen lassen?
Gruss und danke
Habe mir ein Supermicro Barebone mit E3-1281 v3, 32 GB RAM und 6x 10 Gbit RJ45 Kupfer geholt. Die CPU ist noch nicht da, im Moment steckt eine i3-4130T, welche VT-d nicht unterstützt.
Um dieses Board handelt es sich:
https://www.manualslib.com/manual/10457 ... Ln6tf.html
Habe da drauf den aktuellen ESXi 7, und da drunter eine Sophos installiert. Lüppt soweit ganz gut. vSphere 8 geht leider nicht auf der Plattform.
Fragt sich, ob das Sinn macht, das WAN direkt an einen vSwitch zu hängen. Das WAN an die Sophos durchreichen kann ich im Moment nicht testen, da die CPU kein VT-d bietet. Aber ist eh mehr als fraglich, ob ich da eine einzelne X-540 durchreichen könnte, weil die drei X-540 hängen alle hinter einem PLX Chip.
Wäre mir eh lieber, wenn ich das ohne durchreichen lösen könnte. Weil dann kann ich das WAN auch an anderen VMs noch brauchen. Der ESXi selbst hängt natürlich dabei nicht im WAN, aber gegebenenfalls am selben Controller.
Hole ich mir da ein potentielles Sicherheitsrisiko ins Haus, oder kann man das machen? Ist jetzt auch nicht eine AKW Steuerung dahinter, aber soll halt schon kein offenes Scheunentor sein. Sonst müsste ich auf vSphere als Unterbau verzichten, was ich nur ungern machen würde.
So wäre mir das am liebsten:
Hat da wer Tipps dazu?
Bzw. kann ich das so laufen lassen?
Gruss und danke