Passa attraverso gli indirizzi IP pubblici a pfSense

8

Ho un server nel mio datacenter che ha più indirizzi IP indirizzati pubblicamente e ora sto eseguendo ESXi per gestirlo.

Prima, avevo alcune VM in esecuzione sotto l'host che ha creato una rete: 

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Ora, vorrei fare quanto segue in pfSense e VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Dove VM3 e VM4 stanno ottenendo IP privati ​​NATted da pfSense e dove VM1 e VM2 stanno ancora passando sullo stesso adattatore, ma ora stanno ottenendo i propri IP pubblici.

Ho problemi a navigare nell'interfaccia di pfSense per capire come farlo. Preferibilmente, vorrei che gli IP pubblici fossero ancora trasmessi tramite DHCP, così da poterlo aggiungere in un tunnel IPv6 una volta che pfSense lo supporta. Inoltre, essere ancora in grado di utilizzare pfSense come firewall sarebbe la cosa migliore (altrimenti in qualche modo sconfigge lo scopo)

networking  vmware-esxi  pfsense 
Jess
fonte

Risposte:

6

Sembra che tu stia cercando di aggiungere una DMZ in modalità bridge.

  1. Crea un nuovo switch virtuale non connesso a nessuna interfaccia fisica.
  2. Modifica le proprietà per il nuovo switch virtuale e modifica la configurazione dello switch virtuale in modalità "ACCETTA" promiscua <- la modalità bridge di PFSense non funzionerà senza.
  3. Aggiungi e abilita un'interfaccia su PFsense, non assegnare a questa interfaccia un indirizzo IP.
  4. Nel bridge PFSense questa interfaccia con l'interfaccia WAN.
  5. In vmware aggiungi la nuova interfaccia PFSense allo switch virtuale.
  6. Aggiungi tutti i sistemi di cui desideri disporre un IP pubblico allo switch virtuale e assegna IP pubblici
  7. Creare regole in entrata per tali sistemi nella scheda Regole WAN.
  8. Crea regole in uscita per sistemi DMZ nella scheda DMZ <- supponendo che tu abbia chiamato la tua nuova interfaccia PFSense DMZ;)

Punti da notare:

  • Tutti i sistemi nella DMZ avranno bisogno di almeno una regola per far uscire il traffico.
  • Lo switch virtuale DEVE accettare la modalità promiscua
  • L'interfaccia DMZ deve essere collegata a ponte con l'interfaccia WAN.

Bonus: aggiungi il pacchetto snort alla tua interfaccia WAN e hai un fantastico firewall IDS / IPS!

mrbnetworks
fonte
1

Utilizza uno switch virtuale dedicato solo virtuale per gli IP pubblici, assegnalo al firewall come NIC aggiuntiva e come interfaccia assegnata e inserisci i tuoi server con IP pubblici. Collega questa interfaccia alla WAN, configura le regole del firewall di conseguenza e sei a posto.

Chris Buechler
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.