Chuyển qua địa chỉ IP công cộng tới pfSense

8

Tôi có một máy chủ trong trung tâm dữ liệu của mình có nhiều địa chỉ IP được định tuyến công khai và hiện tôi đang chạy ESXi để quản lý nó.

Trước đây, tôi có một số máy ảo chạy dưới máy chủ đã tạo một mạng: 

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Bây giờ, tôi muốn thực hiện các thao tác sau dưới pfSense và VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Trong đó VM3 và VM4 đang nhận các IP riêng được NAT bởi pfSense và VM1 và VM2 vẫn đang truyền trên cùng một bộ điều hợp, nhưng hiện đang có IP công khai của riêng chúng.

Tôi gặp sự cố khi điều hướng giao diện của pfSense để tìm hiểu cách thực hiện. Tốt nhất là tôi muốn các IP công cộng vẫn được chuyển giao DHCP để tôi có thể thêm vào một đường hầm IPv6 một khi pfSense hỗ trợ nó. Ngoài ra, vẫn có thể sử dụng pfSense làm tường lửa cũng là tốt nhất (nếu không thì nó sẽ đánh bại mục đích)

networking  vmware-esxi  pfsense 
Jess
nguồn

Câu trả lời:

6

Âm thanh như bạn đang muốn thêm DMZ ở chế độ bắc cầu.

  1. Tạo một công tắc ảo mới không được kết nối với bất kỳ giao diện vật lý nào.
  2. Chỉnh sửa thuộc tính cho chuyển đổi ảo mới và thay đổi cấu hình vswitch thành chế độ lăng nhăng "CHẤP NHẬN" <- Chế độ cầu của PFSense sẽ không hoạt động mà không có.
  3. Thêm và kích hoạt giao diện trên PFsense, không gán giao diện này cho địa chỉ IP.
  4. Trong cầu nối PFSense giao diện này với giao diện WAN.
  5. Trong vmware, thêm giao diện PFSense mới vào bộ chuyển đổi ảo.
  6. Thêm tất cả các hệ thống bạn muốn có IP công cộng vào bộ chuyển đổi ảo và gán IP công cộng
  7. Tạo quy tắc gửi đến cho các hệ thống đó trên tab Quy tắc WAN.
  8. Tạo quy tắc ra ngoài cho các hệ thống DMZ trên tab DMZ <- giả sử bạn đã đặt tên cho giao diện PFSense DMZ mới của mình;)

Điểm cần lưu ý:

  • Tất cả các hệ thống trong DMZ sẽ cần ít nhất một quy tắc để cho phép lưu lượng truy cập.
  • Vswitch của bạn PHẢI chấp nhận chế độ lăng nhăng
  • Giao diện DMZ của bạn phải được bắc cầu bằng giao diện WAN.

Phần thưởng - Thêm gói snort vào giao diện WAN của bạn và bạn có một tường lửa IDS / IPS tuyệt vời!

mạng lưới
nguồn
1

Sử dụng một vswitch chỉ dành riêng ảo cho các IP công cộng, gán nó trên tường lửa dưới dạng một NIC bổ sung và giao diện được gán và đặt các máy chủ của bạn với các IP công cộng ở đó. Kết nối giao diện đó với mạng WAN, định cấu hình quy tắc tường lửa của bạn phù hợp và bạn sẽ ổn.

Chris Buechler
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.