Передача публичных IP-адресов в pfSense

8

В моем центре обработки данных есть сервер с несколькими публично маршрутизируемыми IP-адресами, и теперь я использую ESXi для управления им.

Раньше под хостом работало несколько виртуальных машин, которые создавали сеть: 

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Теперь я хотел бы сделать следующее в pfSense и VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Где VM3 и VM4 получают частные IP-адреса, созданные NAT с помощью pfSense, и где VM1 и VM2 все еще проходят через один и тот же адаптер, но теперь получают свои собственные публичные IP-адреса.

У меня проблемы с навигацией по интерфейсу pfSense, чтобы понять, как это сделать. Предпочтительно, чтобы общедоступные IP-адреса по-прежнему передавались через DHCP, чтобы я мог добавить их в туннель IPv6, как только pfSense его поддержит. Кроме того, все еще лучше использовать pfSense в качестве брандмауэра (в противном случае это как бы не соответствует цели)

networking vmware-esxi pfsense Джесс
источник

Ответы:

6

Похоже, вы хотите добавить DMZ в мостовом режиме.

  1. Создайте новый виртуальный коммутатор, не подключенный к каким-либо физическим интерфейсам.
  2. Отредактируйте свойства для нового виртуального коммутатора и измените конфигурацию vswitch на случайный режим «ПРИНЯТЬ» <- режим моста PFSense работать не будет.
  3. Добавьте и включите интерфейс в PFsense, не назначайте этому интерфейсу IP-адрес.
  4. В мосте PFSense этот интерфейс с интерфейсом WAN.
  5. В vmware добавьте новый интерфейс PFSense к виртуальному коммутатору.
  6. Добавьте все системы, к которым вы хотите иметь общедоступный IP-адрес, к виртуальному коммутатору и назначьте общедоступные IP-адреса.
  7. Создайте входящие правила для этих систем на вкладке WAN Rules.
  8. Создать исходящие правила для систем DMZ на вкладке DMZ <- при условии, что вы назвали свой новый интерфейс PFSense DMZ;)

Обратите внимание:

  • Всем системам в демилитаризованной зоне понадобится хотя бы одно правило для выпуска трафика.
  • Ваш vswitch ДОЛЖЕН принять случайный режим
  • Ваш DMZ-интерфейс должен быть соединен с WAN-интерфейсом.

Бонус - добавьте пакет snort к своему интерфейсу WAN, и у вас будет потрясающий брандмауэр IDS / IPS!

mrbnetworks
источник
1

Используйте выделенный виртуальный vswitch для общедоступных IP-адресов, назначьте его на брандмауэре в качестве дополнительного сетевого адаптера и назначенного интерфейса и разместите там свои серверы с общедоступными IP-адресами. Соедините этот интерфейс с глобальной сетью, настройте соответствующие правила брандмауэра, и все готово.

Крис Бюхлер
источник