Passer par des adresses IP publiques à pfSense

8

J'ai un serveur dans mon centre de données qui a plusieurs adresses IP routées publiquement, et j'exécute maintenant ESXi pour le gérer.

Avant, j'avais des machines virtuelles fonctionnant sous l'hôte qui avait créé un réseau:

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Maintenant, j'aimerais faire ce qui suit sous pfSense et VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Où VM3 et VM4 obtiennent des IP privées NATtées par pfSense, et où VM1 et VM2 passent toujours par le même adaptateur, mais obtiennent maintenant leurs propres IP publiques.

J'ai du mal à naviguer dans l'interface de pfSense pour comprendre comment cela doit être fait. Préférentiellement, j'aimerais que les adresses IP publiques soient toujours transmises via DHCP afin que je puisse ajouter un tunnel IPv6 une fois que pfSense le prend en charge. De plus, être en mesure d'utiliser pfSense comme pare-feu serait également le meilleur (sinon cela défait en quelque sorte l'objectif)

Jess
la source

Réponses:

6

On dirait que vous cherchez à ajouter une DMZ en mode ponté.

  1. Créez un nouveau commutateur virtuel non connecté à des interfaces physiques.
  2. Modifiez les propriétés du nouveau commutateur virtuel et changez la configuration de vswitch en mode "ACCEPT" promiscuous <- Le mode pont de PFSense ne fonctionnera pas sans.
  3. Ajoutez et activez une interface sur PFsense, n'attribuez pas à cette interface une adresse IP.
  4. Dans PFSense, connectez cette interface à l'interface WAN.
  5. Dans vmware, ajoutez la nouvelle interface PFSense au commutateur virtuel.
  6. Ajoutez tous les systèmes sur lesquels vous souhaitez avoir une adresse IP publique au commutateur virtuel et attribuez des adresses IP publiques
  7. Créez des règles entrantes pour ces systèmes dans l'onglet Règles WAN.
  8. Créez des règles sortantes pour les systèmes DMZ dans l'onglet DMZ <- en supposant que vous avez nommé votre nouvelle interface PFSense DMZ;)

Points à noter:

  • Tous les systèmes de la DMZ auront besoin d'au moins une règle pour laisser sortir le trafic.
  • Votre vswitch DOIT accepter le mode promiscuous
  • Votre interface DMZ doit être pontée avec l'interface WAN.

Bonus - Ajoutez le paquet snort à votre interface WAN et vous avez un pare-feu IDS / IPS génial!

mrbnetworks
la source
1

Utilisez un vswitch dédié uniquement virtuel pour les adresses IP publiques, affectez-le sur le pare-feu en tant que carte réseau supplémentaire et interface affectée, et placez vos serveurs avec des adresses IP publiques sur celui-ci. Reliez cette interface au WAN, configurez vos règles de pare-feu en conséquence et vous êtes prêt à partir.

Chris Buechler
la source