У меня есть сеть виртуальных машин, каждая из которых имеет IP-адрес LAN и общедоступный IP-адрес. Каждый из них имеет карту NAT 1: 1 для общего доступа через общедоступный IP-адрес для HTTP, SSH и т. Д. Я пытаюсь найти способ ограничить IP-адреса локальной сети от связи друг с другом, но есть некоторые случаи, когда группа IP-адресов LAN должна будет связаться.
Я использую pfSense в качестве брандмауэра / маршрутизатора на 192.168.0.0/24 конфигурация.
Похоже, я мог бы назначить каждой виртуальной машине свою собственную подсеть и добавить статический маршрут к брандмауэру, чтобы эта виртуальная машина вернулась к брандмауэру для доступа в Интернет и других правил брандмауэра. Это правильно?
Я назначил 1 ВМ с:
address 192.168.1.2
netmask 255.255.255.254
gateway 192.168.1.1
Затем добавил статический маршрут на LAN-интерфейс FW, используя 192.168.1.0/30 как сеть назначения и 192.168.1.1 как шлюз.
Кажется, ничего не работает, так что у кого-нибудь есть идеи? Имейте в виду, что я плохо разбираюсь в подсетях.
Спасибо!
Я не понимаю, почему вы делаете этот шаг:
«Затем добавил статический маршрут к интерфейсу LAN FW, используя 192.168.1.0/30 в качестве сети назначения и 192.168.1.1 в качестве шлюза».
Создайте одну VLAN для каждой виртуальной машины или клиента. Назначьте правильную сеть, / 30 или больше. Первый адрес - это сеть, второй - IP-адрес брандмауэра в этой подсети, а второй или остальные, пока широковещательная передача не будет использоваться виртуальными машинами.
Вот и все, все, что вам нужно, это добавить правила либо для интерфейсов VLAN, либо, если вы предпочитаете, для IP-адресов внутри VLAN.
Маска = 255.255.255.254 ???? Взгляните на это
Network Net Broadcast CIDR Mask UsableHosts
192.168.1.0 192.168.1.3 30 255.255.255.252 2
192.168.1.4 192.168.1.7 30 255.255.255.252 2
192.168.1.8 192.168.1.11 30 255.255.255.252 2
192.168.1.12 192.168.1.15 30 255.255.255.252 2
На выходе, если из моего Планировщик подсети
Какая ОС используется на виртуальных машинах? Возможно, было бы проще использовать на машинах внутренние брандмауэры. Таким образом, вы можете выбрать, на какие адреса отвечает каждая виртуальная машина.
Большинство правил брандмауэра используют маски, которые работают так же, как маски подсети, но могут использоваться для нацеливания на несколько подсетей или блоков IP-адресов внутри подсети.
Так что оставьте свои шлюзы в покое, но сгруппируйте IP-адреса виртуальных машин в своей подсети, чтобы вы могли писать маски, определяющие эти виртуальные машины. Вы можете настроить таргетинг на один IP-адрес с маской 255.255.255.255. Вы можете использовать Калькулятор CIDR чтобы помочь вам в этом разобраться, или взгляните на диаграмму распределения IP в превосходной книге Гэри А. Донохью Network Warrior.