Lewati alamat IP publik ke pfSense

8

Saya memiliki server di pusat data saya yang memiliki beberapa alamat IP yang dialihkan secara publik, dan saya sekarang menjalankan ESXi untuk mengelolanya.

Sebelumnya, saya menjalankan beberapa VM di bawah host yang menciptakan jaringan:

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Sekarang, saya ingin melakukan hal berikut di bawah pfSense dan VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Di mana VM3 dan VM4 mendapatkan IP pribadi yang disembunyikan oleh pfSense, dan di mana VM1 dan VM2 masih melewati pada adaptor yang sama, tetapi sekarang mendapatkan IP publik mereka sendiri.

Saya mengalami kesulitan menavigasi antarmuka pfSense untuk mencari tahu bagaimana ini harus dilakukan. Lebih disukai saya ingin IP publik masih dibagikan melalui DHCP sehingga saya bisa menambahkan dalam terowongan IPv6 setelah pfSense mendukungnya. Juga, masih bisa menggunakan pfSense sebagai firewall akan menjadi yang terbaik juga (jika tidak maka tujuan itu dikalahkan)

Jess
sumber

Jawaban:

6

Sepertinya Anda ingin menambahkan DMZ dalam mode bridged.

  1. Buat sakelar virtual baru yang tidak terhubung ke antarmuka fisik apa pun.
  2. Edit properti untuk sakelar virtual baru dan ubah konfigurasi vswitch ke mode "ACCEPT" promiscuous <- Mode jembatan PFSense tidak akan berfungsi tanpanya.
  3. Tambahkan dan aktifkan antarmuka di PFsense, jangan tetapkan alamat IP untuk antarmuka ini.
  4. Di PFSense menjembatani antarmuka ini dengan antarmuka WAN.
  5. Dalam vmware tambahkan antarmuka PFSense baru ke switch virtual.
  6. Tambahkan semua sistem yang Anda ingin memiliki IP publik ke switch virtual dan menetapkan IP publik
  7. Buat aturan masuk untuk sistem tersebut di tab Aturan WAN.
  8. Buat aturan Outbound untuk sistem DMZ pada tab DMZ <- dengan asumsi Anda menamai antarmuka PFSense baru Anda;)

Poin yang perlu diperhatikan:

  • Semua sistem di DMZ akan membutuhkan setidaknya satu aturan untuk mengeluarkan lalu lintas.
  • Vswitch Anda HARUS menerima mode promiscuous
  • Antarmuka DMZ Anda harus dijembatani dengan antarmuka WAN.

Bonus - Tambahkan paket snort ke antarmuka WAN Anda dan Anda memiliki firewall IDS / IPS yang mengagumkan!

mrbnetworks
sumber
1

Gunakan vswitch khusus virtual khusus untuk IP publik, tetapkan itu di firewall sebagai tambahan NIC dan antarmuka yang ditetapkan, dan letakkan server Anda dengan IP publik di sana. Jembatan antarmuka itu ke WAN, konfigurasikan aturan firewall Anda sesuai, dan Anda baik untuk pergi.

Chris Buechler
sumber