我有一个虚拟机网络,每个虚拟机都有一个 LAN IP 地址和一个公共 IP 地址。每个虚拟机都有一个 1:1 NAT 映射,用于通过公共 IP 进行 HTTP、SSH 等公共访问。我正在尝试找出一种方法来限制 LAN IP 相互通信,但在某些情况下,一组 LAN IP 需要通信。
我在配置中使用 pfSense 作为防火墙/路由器192.168.0.0/24。
似乎我可以为每个虚拟机分配自己的子网,并为该虚拟机添加一条到防火墙的静态路由,以便返回防火墙进行互联网访问和其他防火墙规则。对吗?
我分配了 1 个虚拟机:
address 192.168.1.2
netmask 255.255.255.254
gateway 192.168.1.1
然后在 FW 的 LAN 接口上添加静态路由,用作192.168.1.0/30目标网络和192.168.1.1网关。
似乎什么都没起作用,所以有人有什么想法吗?请注意,我对子网不太熟悉。
谢谢!
答案1
您在虚拟机上运行什么操作系统?在机器上使用内部防火墙可能更简单。这样您就可以选择每个虚拟机响应的地址。
答案2
掩码 = 255.255.255.254???? 看看这个
Network Net Broadcast CIDR Mask UsableHosts
192.168.1.0 192.168.1.3 30 255.255.255.252 2
192.168.1.4 192.168.1.7 30 255.255.255.252 2
192.168.1.8 192.168.1.11 30 255.255.255.252 2
192.168.1.12 192.168.1.15 30 255.255.255.252 2
输出来自我的子网规划器
答案3
我不明白你为什么要执行这一步:
“然后在 FW 的 LAN 接口上添加一条静态路由,使用 192.168.1.0/30 作为目标网络,使用 192.168.1.1 作为网关。”
为每个虚拟机或客户创建一个 VLAN。分配适当的网络,/30 或更大。第一个地址是网络,第二个地址是该子网上的防火墙 IP - 其余地址直到广播将由虚拟机使用。
就是这样,您需要做的就是为 VLAN 接口添加规则,或者如果您愿意的话,为 VLAN 内的 IP 添加规则。
答案4
大多数防火墙规则使用与子网掩码相同的掩码,但可用于定位多个子网或子网内的 IP 地址块。
因此,不要管网关,而是将虚拟机 IP 地址分组到子网中,这样您就可以编写指定这些虚拟机的掩码。您可以使用掩码 255.255.255.255 来定位单个 IP 地址。您可以使用CIDR 计算器帮助你解决这个问题,或者看一下 Gary A. Donohue 的优秀著作《网络战士》中的 IP 分配图。