Übergeben Sie öffentliche IP-Adressen an pfSense

8

Ich habe einen Server in meinem Rechenzentrum, der mehrere öffentlich geroutete IP-Adressen hat, und ich führe jetzt ESXi aus, um ihn zu verwalten.

Zuvor liefen einige VMs unter dem Host, der ein Netzwerk erstellt hat:

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Jetzt möchte ich unter pfSense und VMware Folgendes tun:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Wo VM3 und VM4 private IPs erhalten, die von pfSense NATted wurden, und wo VM1 und VM2 immer noch auf demselben Adapter durchlaufen, aber jetzt ihre eigenen öffentlichen IPs erhalten.

Ich habe Probleme beim Navigieren in der pfSense-Oberfläche, um herauszufinden, wie dies getan werden soll. Vorzugsweise möchte ich, dass die öffentlichen IP-Adressen weiterhin über DHCP ausgegeben werden, damit ich sie in einen IPv6-Tunnel einfügen kann, sobald pfSense dies unterstützt. Außerdem wäre es am besten, pfSense weiterhin als Firewall verwenden zu können (andernfalls wird der Zweck dadurch zunichte gemacht).

Jess
quelle

Antworten:

6

Klingt so, als würden Sie eine DMZ im Bridged-Modus hinzufügen.

  1. Erstellen Sie einen neuen virtuellen Switch, der nicht mit physischen Schnittstellen verbunden ist.
  2. Bearbeiten Sie die Eigenschaften für einen neuen virtuellen Switch und ändern Sie die vswitch-Konfiguration in den Promiscuous-Modus "ACCEPT". <- Der Bridge-Modus von PFSense funktioniert ohne nicht.
  3. Fügen Sie eine Schnittstelle in PFsense hinzu und aktivieren Sie sie. Weisen Sie dieser Schnittstelle keine IP-Adresse zu.
  4. In PFSense Bridge diese Schnittstelle mit der WAN-Schnittstelle.
  5. Fügen Sie in VMware die neue PFSense-Schnittstelle zum virtuellen Switch hinzu.
  6. Fügen Sie dem virtuellen Switch alle Systeme hinzu, für die Sie eine öffentliche IP wünschen, und weisen Sie öffentliche IPs zu
  7. Erstellen Sie eingehende Regeln für diese Systeme auf der Registerkarte WAN-Regeln.
  8. Erstellen Sie ausgehende Regeln für DMZ-Systeme auf der Registerkarte DMZ <- vorausgesetzt, Sie haben Ihre neue PFSense-Schnittstelle DMZ genannt;)

Zu beachtende Punkte:

  • Alle Systeme in der DMZ benötigen mindestens eine Regel, um den Datenverkehr abzulassen.
  • Ihr vswitch MUSS den Promiscuous-Modus akzeptieren
  • Ihre DMZ-Schnittstelle muss mit der WAN-Schnittstelle verbunden sein.

Bonus - Fügen Sie das Snort-Paket zu Ihrer WAN-Schnittstelle hinzu und Sie haben eine fantastische IDS / IPS-Firewall!

mrbnetworks
quelle
1

Verwenden Sie einen dedizierten Nur-Virtual-Vswitch für die öffentlichen IP-Adressen, weisen Sie diesen in der Firewall als zusätzliche Netzwerkkarte und zugewiesene Schnittstelle zu und stellen Sie dort Ihre Server mit öffentlichen IP-Adressen bereit. Überbrücken Sie diese Schnittstelle mit WAN, konfigurieren Sie Ihre Firewall-Regeln entsprechend und los geht's.

Chris Büchler
quelle