Назад | Перейти на главную страницу

Передавать через общедоступные IP-адреса в pfSense

У меня есть сервер в моем центре обработки данных, который имеет несколько публично маршрутизируемых IP-адресов, и теперь я использую ESXi для управления им.

Раньше у меня было несколько виртуальных машин, работающих под хостом, который создавал сеть: 

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Теперь я хотел бы сделать следующее в pfSense и VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Где VM3 и VM4 получают частные IP-адреса, преобразованные с помощью pfSense, и где VM1 и VM2 все еще проходят через один и тот же адаптер, но теперь получают свои собственные общедоступные IP-адреса.

У меня проблемы с навигацией по интерфейсу pfSense, чтобы понять, как это нужно сделать. Предпочтительно, чтобы общедоступные IP-адреса по-прежнему передавались через DHCP, чтобы я мог добавить туннель IPv6, как только pfSense его поддерживает. Кроме того, по-прежнему будет лучше использовать pfSense в качестве брандмауэра (иначе это как бы побеждает цель)

Похоже, вы хотите добавить DMZ в мостовом режиме.

  1. Создайте новый виртуальный коммутатор, не подключенный ни к каким физическим интерфейсам.
  2. Отредактируйте свойства нового виртуального коммутатора и измените конфигурацию vswitch на "ACCEPT" promiscuous mode <- режим моста PFSense не будет работать без него.
  3. Добавьте и включите интерфейс в PFsense, не назначайте этому интерфейсу IP-адрес.
  4. В мосте PFSense это интерфейс с интерфейсом WAN.
  5. В vmware добавьте новый интерфейс PFSense к виртуальному коммутатору.
  6. Добавьте к виртуальному коммутатору все системы, для которых вы хотите иметь общедоступный IP-адрес, и назначьте общедоступные IP-адреса.
  7. Создайте правила для входящих подключений для этих систем на вкладке WAN Rules.
  8. Создайте исходящие правила для систем DMZ на вкладке DMZ <- предполагая, что вы назвали свой новый интерфейс PFSense DMZ;)

На заметку:

  • Всем системам в демилитаризованной зоне потребуется хотя бы одно правило для пропуска трафика.
  • Ваш vswitch ДОЛЖЕН принять беспорядочный режим
  • Ваш DMZ-интерфейс должен быть соединен с WAN-интерфейсом.

Бонус - добавьте пакет snort в свой WAN-интерфейс, и у вас будет отличный межсетевой экран IDS / IPS!

Используйте выделенный виртуальный vswitch для общедоступных IP-адресов, назначьте его на брандмауэре в качестве дополнительной сетевой карты и назначенного интерфейса и поместите туда свои серверы с общедоступными IP-адресами. Подключите этот интерфейс к WAN, настройте соответствующие правила брандмауэра, и все готово.