使用防火墙虚拟机过滤单个未路由的 IP

使用防火墙虚拟机过滤单个未路由的 IP

我有虚拟化主机(普罗克斯莫克斯) 运行多个提供公共服务的虚拟机。我正在使用防火墙设备 (OPNSense 简介) 来过滤流量。这对于路由子网非常有效,其中公共 IP 直接绑定到 VM 的虚拟网络接口:我可以设置防火墙规则来根据端口/源等过滤流量。

在其中一台服务器上,我从托管提供商处获得了一个额外的公共 IP 地址,该地址不属于路由子网。我获得了一个虚拟 MAC 地址(虚拟的不绑定到物理网卡),我可以为具有此 MAC 地址的 VM 创建虚拟网卡,这样我就可以将此 IP 直接分配给连接到公共网桥的 VM。

由于我想使用防火墙设备过滤流量,因此我为防火墙虚拟机分配了一个额外的虚拟网卡。提供服务的虚拟机有一个本地/非路由 IP 地址,并连接到局域网防火墙虚拟机后面的端口。现在我可以使用目的地址转换规则将特定端口映射到虚拟机的入站流量。

据我了解,这需要我添加源 NAT规则以确保来自此虚拟机的出站流量获得正确的公共 IP 地址作为其来源。这正确吗?

我想知道这是不是最好的方法,或者是否有一个更透明的方法,让我不需要处理基因转移酶规则和面向额外公共 IP 的所有流量将 1:1 定向到虚拟机。当然,能够进行基于规则的过滤仍然是一项要求。

相关内容