我的数据中心中有一台服务器,它有多个公共路由的 IP 地址,我现在正在运行 ESXi 来管理它。
之前,我在创建网络的主机下运行了一些虚拟机:
inet
[x.x.x.210] -- Host OS
|-- .211 -- VM 1
\-- .212 -- VM 2
现在,我想在 pfSense 和 VMware 下执行以下操作:
inet lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
|-- .211 -- VM1 |-- .2 -- VM3
\-- .212 -- VM2 \-- .3 -- VM4
其中 VM3 和 VM4 获取由 pfSense 进行 NAT 的私有 IP,而 VM1 和 VM2 仍然通过同一个适配器传递,但现在获取了自己的公共 IP。
我在浏览 pfSense 界面时遇到了麻烦,不知道该如何操作。我更希望公共 IP 仍然通过 DHCP 分配,这样一旦 pfSense 支持 IPv6 隧道,我就可以添加它。此外,最好还能将 pfSense 用作防火墙(否则就有点违背了目的)
答案1
听起来您想在桥接模式下添加 DMZ。
- 创建一个未连接到任何物理接口的新虚拟交换机。
- 编辑新的虚拟交换机的属性,并将 vswitch 配置更改为“接受”混杂模式<-如果没有,PFSense 的桥接模式将无法工作。
- 在 PFsense 上添加并启用一个接口,不要为该接口分配 IP 地址。
- 在 PFSense 中将此接口与 WAN 接口桥接。
- 在 vmware 中将新的 PFSense 接口添加到虚拟交换机。
- 将您希望拥有公共 IP 的所有系统添加到虚拟交换机并分配公共 IP
- 在“WAN 规则”选项卡上为这些系统创建入站规则。
- 在 DMZ 选项卡上为 DMZ 系统创建出站规则<--假设您将新的 PFSense 接口命名为 DMZ;)
注意事项:
- DMZ 中的所有系统都需要至少一条规则来让流量传出。
- 您的 vswitch必须接受混杂模式
- 您的 DMZ 接口必须与 WAN 接口桥接。
奖励 - 将 snort 包添加到您的 WAN 接口,您将拥有一个很棒的 IDS/IPS 防火墙!
答案2
使用专用的虚拟交换机作为公共 IP,在防火墙上将其指定为附加 NIC 和指定接口,并将具有公共 IP 的服务器放在那里。将该接口桥接到 WAN,相应地配置防火墙规则,一切就绪。