web-dev-qa-db-ja.com

パブリックIPアドレスをpfSenseに渡す

複数のパブリックルーティングされたIPアドレスを持つデータセンターにサーバーがあり、ESXiを実行して管理しています。

以前は、ネットワークを作成するホストの下でいくつかのVMを実行していました。

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

ここで、pfSenseとVMwareで次のことを実行したいと思います。

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

VM3とVM4がpfSenseによってNAT処理されたプライベートIPを取得している場所、およびVM1とVM2は同じアダプターで引き続き通過していますが、独自のパブリックIPを取得しています。

これを行う方法を理解するためにpfSenseのインターフェイスをナビゲートするのに問題があります。できれば、パブリックIPをDHCP経由で引き渡したいので、pfSenseでサポートされたらIPv6トンネルを追加できます。また、ファイアウォールとしてpfSenseを使用できることも最善です(そうでない場合は、一種の目的に反します)。

8
Jess

ブリッジモードでDMZを追加しようとしているようです。

  1. 物理インターフェイスに接続されていない新しい仮想スイッチを作成します。
  2. 新しい仮想スイッチのプロパティを編集し、vswitch構成を "ACCEPT"無差別モードに変更します<-PFSenseのブリッジモードがないと機能しません。
  3. PFsenseでインターフェイスを追加して有効にします。このインターフェイスにIPアドレスを割り当てないでください。
  4. PFSenseブリッジでは、このインターフェイスとWANインターフェイスを使用します。
  5. Vmware内で、新しいPFSenseインターフェイスを仮想スイッチに追加します。
  6. パブリックIPを使用するすべてのシステムを仮想スイッチに追加し、パブリックIPを割り当てます
  7. WANルールタブで、それらのシステムの受信ルールを作成します。
  8. DMZシステムでDMZシステムの送信規則を作成します<-新しいPFSenseインターフェイスにDMZという名前を付けたと仮定します;)

注意点:

  • DMZ内のすべてのシステムは、トラフィックを許可するために少なくとも1つのルールを必要とします。
  • Vswitch [〜#〜] must [〜#〜]無差別モードを受け入れる
  • DMZインターフェースはWANインターフェースでブリッジする必要があります。

おまけ-WANインターフェースにsnortパッケージを追加すると、素晴らしいIDS/IPSファイアウォールが手に入ります!

6
mrbnetworks

パブリックIPに専用の仮想専用vswitchを使用し、追加のNICおよび割り当てられたインターフェイスとしてファイアウォールに割り当て、サーバーにパブリックIPを配置します。そのインターフェイスをWANにブリッジします。ファイアウォールルールを適切に構成すれば、準備は完了です。

1
Chris Buechler