Passar por endereços IP públicos para pfSense

8

Eu tenho um servidor no meu datacenter que tem vários endereços IP roteados publicamente e agora estou executando o ESXi para gerenciá-lo.

Antes, eu tinha algumas VMs em execução no host que criou uma rede:

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Agora, gostaria de fazer o seguinte no pfSense e no VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Em que VM3 e VM4 estão recebendo IPs privados NATted por pfSense e onde VM1 e VM2 ainda estão passando no mesmo adaptador, mas agora estão obtendo seus próprios IPs públicos.

Estou tendo problemas para navegar na interface do pfSense para descobrir como isso deve ser feito. Preferencialmente, gostaria que os IPs públicos ainda fossem distribuídos por DHCP, para que eu possa adicionar um túnel IPv6 assim que o pfSense o suportar. Além disso, ainda ser capaz de usar o pfSense como um firewall também seria melhor (caso contrário, ele acaba com o propósito)

    
por Jess 08.09.2011 / 02:09

2 respostas

6

Parece que você está tentando adicionar uma DMZ no modo em ponte.

  1. Crie um novo comutador virtual não conectado a nenhuma interface física.
  2. Edite as propriedades para o novo comutador virtual e altere a configuração do vswitch para o modo promíscuo "ACEITAR" < - O modo de ponte do PFSense não funcionará sem.
  3. Adicione e ative uma interface no PFsense, não atribua a essa interface um endereço IP.
  4. No PFSense, conecte essa interface com a interface WAN.
  5. No vmware, adicione a nova interface do PFSense ao comutador virtual.
  6. Adicione todos os sistemas que você gostaria de ter um IP público ao comutador virtual e atribua IPs públicos
  7. Crie regras de entrada para esses sistemas na guia Regras da WAN.
  8. Crie regras de saída para sistemas DMZ na guia DMZ < - supondo que você nomeou sua nova interface DMZ do PFSense;)

Pontos a serem observados:

  • Todos os sistemas na DMZ precisarão de pelo menos uma regra para permitir o tráfego.
  • O seu vswitch DEVE aceitar o modo promíscuo
  • Sua interface DMZ deve ser conectada com a interface WAN.

Bônus - Adicione o pacote snort à sua interface WAN e você terá um incrível firewall IDS / IPS!

    
por 08.09.2011 / 16:20
1

Use um vswitch dedicado somente virtual para os IPs públicos, atribua isso ao firewall como uma NIC adicional e uma interface atribuída e coloque seus servidores com IPs públicos lá. Conecte essa interface à WAN, configure suas regras de firewall de acordo e estará pronto.

    
por 08.09.2011 / 05:48