允许通过PfSense从DC到internet的出站流量？

Question

情况:在云网络中有一个Win2016 DC。万是这台机器的残疾人。局域网连接到PfSense。PfSense在云之间管理虚拟专用网和IPSec .PfSense只允许所有机器/服务之间的白通信量，DC有一个规则列表，因此它可以这样做。这部分工作，仍然得到“没有互联网”警报在DC和WSUS是不像预期的工作。

现在DC需要连接到另一个在线服务。

这应该是白色的，还是允许从这个DC通过PfSense到互联网的出站流量？我知道直接在互联网上使用DC是一种错误的做法，但上述规定是否也适用于这一规则？

Answer 1

简而言之:这取决于你有多安全意识，但是DC携带着你王国的钥匙，所以你可能想用这种服务器来安全地玩一些事情。

最安全的方法是分析您实际需要允许的流量，并且只在pfSense中打开--这将是一种“默认拒绝”方法。

另一种解决问题的方法是考虑您绝对不希望允许的出站通信量，并在pfSense中特别拒绝该流量。当然，从安全的角度来看，这是更糟糕的，因为你一定会忘记--甚至不知道--一些你不想离开你的网络的流量。

也许，一个更好的问题是:您想要打开流量的在线服务真的必须在DC上运行吗?还是为该服务设置一个单独的VM，然后从新机器打开特定的出站流量会更好吗？最优的情况是，您实际上只想在DC上运行AD和DNS。