Pase las direcciones IP públicas a pfSense

8

Tengo un servidor en mi centro de datos que tiene varias direcciones IP enrutadas públicamente, y ahora estoy ejecutando ESXi para administrarlo.

Antes, tenía algunas máquinas virtuales ejecutándose bajo el host que creaba una red:

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

Ahora, me gustaría hacer lo siguiente en pfSense y VMware:

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

Donde VM3 y VM4 están obteniendo IPs privadas NATtizadas por pfSense, y donde VM1 y VM2 todavía están pasando por el mismo adaptador, pero ahora están obteniendo sus propias IP públicas.

Tengo problemas para navegar por la interfaz de pfSense para descubrir cómo se debe hacer esto. Preferentemente, me gustaría que las IP públicas aún se entreguen a través de DHCP para poder agregar un túnel IPv6 una vez que pfSense lo admita. Además, seguir siendo capaz de usar pfSense como firewall también sería lo mejor (de lo contrario, se frustra el propósito)

Encadenar
fuente

Respuestas:

6

Parece que está buscando agregar una DMZ en modo puenteado.

  1. Cree un nuevo conmutador virtual que no esté conectado a ninguna interfaz física.
  2. Edite las propiedades para el nuevo conmutador virtual y cambie la configuración del conmutador virtual al modo promiscuo "ACEPTAR" <- El modo puente de PFSense no funcionará sin él.
  3. Agregue y habilite una interfaz en PFsense, no asigne a esta interfaz una dirección IP.
  4. En PFSense bridge esta interfaz con la interfaz WAN.
  5. Dentro de vmware, agregue la nueva interfaz PFSense al conmutador virtual.
  6. Agregue todos los sistemas que le gustaría tener una IP pública al conmutador virtual y asigne IP públicas
  7. Cree reglas de entrada para esos sistemas en la pestaña Reglas de WAN.
  8. Cree reglas de salida para sistemas DMZ en la pestaña DMZ <- suponiendo que haya nombrado su nueva interfaz PFSense DMZ;)

Puntos a tener en cuenta:

  • Todos los sistemas en la DMZ necesitarán al menos una regla para dejar salir el tráfico.
  • Su conmutador virtual DEBE aceptar el modo promiscuo
  • Su interfaz DMZ debe conectarse con la interfaz WAN.

Bonificación: agregue el paquete snort a su interfaz WAN y tendrá un increíble firewall IDS / IPS.

mrbnetworks
fuente
1

Use un conmutador virtual dedicado solo virtual para las IP públicas, asígnelo en el firewall como una NIC adicional y una interfaz asignada, y coloque allí sus servidores con IP públicas. Conecte esa interfaz a WAN, configure las reglas de su firewall en consecuencia y estará listo.

Chris Buechler
fuente