Passe pelos endereços IP públicos para o pfSense

8

Eu tenho um servidor no meu datacenter que possui vários endereços IP roteados publicamente e agora estou executando o ESXi para gerenciá-lo.

Antes, eu tinha algumas VMs em execução no host que criava uma rede:

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Agora, eu gostaria de fazer o seguinte em pfSense e VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Onde VM3 e VM4 estão obtendo IPs privados NATted pelo pfSense e onde VM1 e VM2 ainda estão passando pelo mesmo adaptador, mas agora estão obtendo seus próprios IPs públicos.

Estou tendo problemas para navegar na interface do pfSense para descobrir como isso deve ser feito. Preferencialmente, eu gostaria que os IPs públicos ainda fossem distribuídos pelo DHCP para que eu pudesse adicionar um túnel IPv6 quando o pfSense o suportar. Além disso, continuar sendo capaz de usar o pfSense como um firewall também seria melhor (caso contrário, meio que derrota o objetivo)

Jess
fonte

Respostas:

6

Parece que você deseja adicionar uma DMZ no modo ponte.

  1. Crie um novo comutador virtual não conectado a nenhuma interface física.
  2. Edite as propriedades do novo comutador virtual e altere a configuração do vswitch para o modo promíscuo "ACEITAR" <- o modo de ponte do PFSense não funcionará sem.
  3. Adicione e ative uma interface no PFsense, não atribua um endereço IP a essa interface.
  4. No PFSense, faça a ponte dessa interface com a interface WAN.
  5. No vmware, adicione a nova interface do PFSense ao comutador virtual.
  6. Adicione todos os sistemas que você gostaria de ter um IP público ao comutador virtual e atribua IPs públicos
  7. Crie regras de entrada para esses sistemas na guia Regras da WAN.
  8. Crie regras de saída para sistemas DMZ na guia DMZ <- assumindo que você nomeou sua nova DMZ da interface do PFSense;)

Pontos a serem observados:

  • Todos os sistemas na DMZ precisarão de pelo menos uma regra para liberar tráfego.
  • Seu vswitch DEVE aceitar o modo promíscuo
  • Sua interface DMZ deve ser conectada à interface WAN.

Bônus - Adicione o pacote snort à sua interface WAN e você terá um incrível firewall IDS / IPS!

mrbnetworks
fonte
1

Use um vswitch virtual exclusivo dedicado para IPs públicos, atribua-o no firewall como uma NIC adicional e uma interface atribuída e coloque seus servidores com IPs públicos. Faça a ponte dessa interface para a WAN, configure suas regras de firewall de acordo e você estará pronto.

Chris Buechler
fonte