最后的问题。
情况:(ips 替换为虚构示例)
我有一台(远程)专用服务器,有 1 个 NIC、2 个 IP。
一个 IP(例如 5.9.1.1)绑定到物理 NIC 的 MAC,另一个 IP(5.9.100.1)分配给“随机”MAC。
远程网络级别不存在端口过滤或 NAT。
ESXi(v5.5)安全配置文件
防火墙已启用。
所有传入连接除了SSH、DHCP 客户端、DNS 客户端仅限于 127.0.0.1 访问。
所有传出连接除了DHCP 客户端、httpClient 和 DNS 客户端仅限于 127.0.0.1 访问。SSH
服务器服务已启用,仅允许授权密钥访问(无交互式登录)。
vSwitch0(名为 WAN):
- 绑定到物理适配器 vmnic0
- 管理网络的 VMKernel 端口(获取 5.9.1.1 IP)
- pfSense 的虚拟机端口(通过覆盖其 MAC 获取 5.9.100.1)
vSwitch1(名为 LAN):
- 无物理适配器
- pfSense 的虚拟机端口(IP 设置为 192.168.174.1 - 启用 DHCP)
- Debian live cd 的虚拟机端口(从 pfSense DHCP 获取 192.168.174.10)
- Windows 2012R2 的虚拟机端口(从 pfSense DHCP 获取 192.168.174.11)
- 管理网络的 VMKernel 端口(从 pfSense DHCP 获取 192.168.174.12)
pfSense 配置:
pfSense 通过常规向导进行设置。WAN = vSwitch0,LAN = vSwitch1。DHCP 服务器已启用。
NAT(所有这些都在端口转发选项卡中):
常规设置
端口转发的 NAT 反射:禁用
自动出站 NAT 反射:禁用RDP 到 Windows2012R2
WAN 接口,proto TCP
src *,src 端口 *
目标地址:WAN 网络,目标端口:3389
NAT IP 192.168.174.11,NAT 端口 3389SSH 到 Debian Live
WAN 接口,proto TCP
src *,src 端口 *
目标地址:WAN 网络,目标端口:2222
NAT IP 192.168.174.10,NAT 端口 22通过 SSH 连接到 ESXi 主机
WAN 接口,proto TCP
源 *,源端口 * 目标地址:WAN 网络,目标端口:22
NAT IP 192.168.174.12。NAT 端口 22
問題/問題:
RDP 转发和 SSH 到 Debian 运行良好。我可以从我的家庭网络连接到这两个网络。
但是,如果我尝试从我的家庭网络连接到 5.9.100.1:22,我的连接会失败(超时)。
从家里到 5.9.1.1:22 的 SSH 可以正常工作(我也使用 SSH 隧道访问 vSphere)。
从 Windows2012R2 VM 192.168.174.11 到 ESXi 主机 192.168.174.12:22 的 SSH 可以正常工作。
考虑到 Debian SSH NAT 规则有效,我很困惑为什么 ESXi NAT 规则无效。
但是,由于我对 ESXi 和 pfSense 都不熟悉,所以我也不确定在哪里可以正确诊断此问题。
猜测
鉴于 ESXi 仍然可以“访问”WAN 端口(目前 - 锁定预防),完全跳过 pfSense,它可能会选择错误的路由将流量发送回我的家庭网络。
如果是这样:我可以用当前设置做些什么来缓解这个问题吗?如果不- 我还不如在 pfSense 上设置 OpenVPN 服务器并完全解决端口转发问题。
谢谢!