我正在寻找一些有关如何在 PfSense 中设置 DMZ 并在该 DMZ 中放置一些虚拟服务器的网络提示。现在我的网络如下所示:
Uverse (Static IPs)-> Pfsense-> WAN->(Virtual IPs/CARP/NAT 1:1 to virtual server's internal IP address)
使用 Uverse,我必须设置虚拟 IP/CARP 以通过 WAN 带来外部静态 IP。
此配置效果很好,我的虚拟服务器(Web 服务器和 Exchange 服务器)正在获取各自的外部 IP 地址。我还设置了各自的防火墙规则,只允许需要打开的端口。
我希望能够将这些虚拟机放在 DMZ 中,以最好地保护我的内部网络。我的虚拟机在 ESXI 5.0 上运行。我的 Pfsense 服务器 (2.0.1) 是物理服务器,有 4 个 NIC。目前,4 个 NIC 中有 2 个正在使用;1 个 WAN,1 个 LAN。
任何有关如何设置 Pfsense 和 ESXI/VSphere 以将这些虚拟机放入 DMZ 的帮助/指导,还允许我从内部网络连接到它们,但同时保护我的内部网络免受这些服务器损坏的影响。我的 ESXI 主机有 2 个物理网卡。
答案1
我使用 pfSense、Xenserver 和一些 procurves 完成了此操作。
我在 pfSense 盒的 LAN 接口上添加了一个标记的 Vlan。
然后,我将标签添加到我的交换机,用于从我的路由器/FW 到我的 Xenserver 池的端口......因为我在池上有多个主机,所以标签位于池可以访问的所有端口上。
然后,我在 Xenserver 中创建了一个带有标记的新网络。然后我创建了只能访问 DMZ VLAN 的 VM。
在 PFsense 中,我允许 DMZ vlan(与其他任何接口一样,它是一个完整接口)到外界,并阻止所有内容到 LAN。
答案2
我创建了一个新的 vSwitch,您需要将 2 台服务器放入此 vSwitch 中。此新 vSwitch 为您创建了一个虚拟网络。将此新网络与另一个接口添加到 pfsense,然后在 DMZ 内的 pfsense 中配置新的专用网络。