Я ищу несколько сетевых советов о том, как настроить DMZ в Pfsense и разместить несколько виртуальных серверов в этой DMZ. Сейчас моя сеть выглядит так:
Uverse (статические IP-адреса) -> Pfsense -> WAN -> (Виртуальные IP-адреса / CARP / NAT 1: 1 к внутреннему IP-адресу виртуального сервера)
С Uverse мне нужно настроить виртуальные IP-адреса / CARP для передачи внешних статических IP-адресов через WAN.
Эта конфигурация отлично работает, мои виртуальные серверы (веб-сервер и сервер Exchange) получают свои соответствующие внешние IP-адреса. Я также установил соответствующие правила брандмауэра, позволяя открывать только необходимые порты.
Что я хочу сделать, так это поместить эти виртуальные машины в демилитаризованную зону, чтобы лучше защитить мою внутреннюю сеть. Мои виртуальные машины работают на ESXI 5.0. Мой сервер Pfsense (2.0.1) является физическим с 4 сетевыми адаптерами. Сейчас используются 2 из 4; 1 WAN, 1 LAN.
Любая помощь / руководство по настройке ОБЕИХ Pfsense и ESXI / VSphere для помещения этих виртуальных машин в DMZ, что также позволяет мне подключаться к ним из моей внутренней сети, но в то же время защищает мою внутреннюю сеть от этих серверов, если они станут коррумпирован. У моего хоста ESXI есть 2 физических NICS.
Я сделал это с помощью pfSense, Xenserver и некоторых procurves.
Я добавил помеченный vlan в интерфейс локальной сети моего блока pfSense.
Затем я добавил тег к своему коммутатору для портов, которые идут от моего маршрутизатора / FW к моему пулу Xenserver ... что, поскольку у меня было несколько хостов в пуле, означает, что теги были на всех портах, к которым у пула был доступ.
Затем в Xenserver я создал новую сеть с тегом. Затем я сделал виртуальные машины, у которых был доступ только к vlan DMZ.
В PFsense я разрешил DMZ vlan (который является полным интерфейсом, как и любой другой) для внешнего мира и заблокировал все для LAN.
Я сделал это, создав новый vSwitch, в этот vSwitch вам нужно поставить 2 сервера. Этот новый vSwitch создал для вас виртуальную сеть. Добавьте эту новую сеть с другим интерфейсом в pfsense, а затем настройте новую частную сеть в pfsense внутри DMZ.