我对使用 ESXi 设置网络和使用 pfSense 还不太熟悉,所以如果无法完成或我问错了地方,请原谅。
我正在使用 ESXi 5.5.0,我想在我的网络上托管一些可以访问互联网的蜜罐,但蜜罐本身无法访问其子网之外的任何内容。理想情况下,我会将特定端口(如 21、22、80、443)转发到各种蜜罐机器。
现在,我也在家里托管这个,所以我想将我的蜜罐网络与我的家庭网络隔离开来。我的家庭网络不应该接触蜜罐网络中的任何东西,反之亦然。
我当前的设置如下:互联网 -> 调制解调器 -> 消费级路由器/交换机组合。该交换机组合上是我的无线设备和其他家用设备。它还连接着我的 ESXi 服务器。我的 ESXi 服务器还具有以下网络设置:
我的 pfSense 盒子有以下接口:
到目前为止,除了两个问题外,基本上一切都正常:
- 我的蜜罐网络 (10.0.0.x) 中的盒子可以与我的家庭网络 (192.168.1.x) 中的盒子通信
- 在我的 pfsense LAN 接口 (em1) 上运行的 DHCP 服务器正在分发我的消费级路由器应该分发的 IP 地址。因此,当我的手机连接到我的 wifi 时,它会从 pfsense 获取一个地址,而这不应该发生。
所以我的问题是,我怎样才能正确地将它们隔离,以便两个网络不能互相通信,并且 DHCP 不会在其网络之外分发地址?
谢谢!我非常感谢你的帮助!
答案1
设置 IPTables 规则,将转发流量从 10.0.0.0/24 丢弃到 192.168.1.0/24
如果不需要,请关闭 pfSense 盒上的 DHCP,并在蜜罐网络上静态设置 IP 地址。如果您有指向特定 IP 地址的防火墙/NAT 规则,您不希望盒子刷新其 DHCP 租约。
确保已禁用从蜜罐管理路由器/防火墙(本例中为 pfsense?)的功能。万一您的某个盒子被 root,您肯定不希望它们能够逃脱。
在打开互联网到蜜罐的闸门之前,一定要确保您知道自己在做什么——错误的配置可能会带来灾难性的后果。
答案2
“在打开互联网和蜜罐的闸门之前,一定要确保自己清楚自己在做什么——错误的配置可能会带来灾难性的后果。”
请密切关注这一点——这是非常好的建议。
我还建议,如果您可以这样做,也许可以安装或部署某种中介来扫描该流量,例如 ArcSight 或任何 McAfee DLP 的开发/免费版本。你即将暴露自己。
答案3
在查看 iptables 或其他任何内容之前。
映射到vmnic0和vmnic1的2条以太网线连接在哪里?
这两个连接必须存在于您的 VMware 主机上 - 在单独的物理以太网网卡上 - 物理连接到不同的系统,即一个连接到 pFsense 盒,一个连接到您的 LAN。
换句话说,在尝试任何异乎寻常的事情之前,请确保你的物理层 2 已经分离。
============================== 结构 ====================== 1) 您的 WAN 连接在哪里?pFsense 需要 2 个 vnic,其中 1 个必须物理连接到您的物理 WAN(而不是您设置中标记为 WAN 的 LAN)
因此据我所知,您需要 3 个独立的 vnic 来完成您想做的事情。
1)LAN/Mgmgnt 2)蜜罐网络 3)WAN 连接到 PFsense
除非您在相关端口之间配置隔离,否则任何时候都不能将从 VMware 主机出来的 3 个以太网中的任何一个插入同一集线器交换机。
否则,串扰就会发生在铜层(第 2 层)上。