パブリックIPアドレスをpfSenseに渡す

Question

複数のパブリックルーティングされたIPアドレスを持つデータセンターにサーバーがあり、ESXiを実行して管理しています。

以前は、ネットワークを作成するホストの下でいくつかのVMを実行していました。

 inet [x.x.x.210] -- Host OS |-- .211 -- VM 1 \-- .212 -- VM 2

ここで、pfSenseとVMwareで次のことを実行したいと思います。

 inet lan [x.x.x.210] -- (NAT) -- [192.168.1.1] |-- .211 -- VM1 |-- .2 -- VM3 \-- .212 -- VM2 \-- .3 -- VM4

VM3とVM4がpfSenseによってNAT処理されたプライベートIPを取得している場所、およびVM1とVM2は同じアダプターで引き続き通過していますが、独自のパブリックIPを取得しています。

これを行う方法を理解するためにpfSenseのインターフェイスをナビゲートするのに問題があります。できれば、パブリックIPをDHCP経由で引き渡したいので、pfSenseでサポートされたらIPv6トンネルを追加できます。また、ファイアウォールとしてpfSenseを使用できることも最善です（そうでない場合は、一種の目的に反します）。

mrbnetworks · Answer

ブリッジモードでDMZを追加しようとしているようです。

物理インターフェイスに接続されていない新しい仮想スイッチを作成します。
新しい仮想スイッチのプロパティを編集し、vswitch構成を "ACCEPT"無差別モードに変更します<-PFSenseのブリッジモードがないと機能しません。
PFsenseでインターフェイスを追加して有効にします。このインターフェイスにIPアドレスを割り当てないでください。
PFSenseブリッジでは、このインターフェイスとWANインターフェイスを使用します。
Vmware内で、新しいPFSenseインターフェイスを仮想スイッチに追加します。
パブリックIPを使用するすべてのシステムを仮想スイッチに追加し、パブリックIPを割り当てます
WANルールタブで、それらのシステムの受信ルールを作成します。
DMZシステムでDMZシステムの送信規則を作成します<-新しいPFSenseインターフェイスにDMZという名前を付けたと仮定します;）

注意点：

DMZ内のすべてのシステムは、トラフィックを許可するために少なくとも1つのルールを必要とします。
Vswitch [〜＃〜] must [〜＃〜]無差別モードを受け入れる
DMZインターフェースはWANインターフェースでブリッジする必要があります。

おまけ-WANインターフェースにsnortパッケージを追加すると、素晴らしいIDS/IPSファイアウォールが手に入ります！

Chris Buechler · Answer

パブリックIPに専用の仮想専用vswitchを使用し、追加のNICおよび割り当てられたインターフェイスとしてファイアウォールに割り当て、サーバーにパブリックIPを配置します。そのインターフェイスをWANにブリッジします。ファイアウォールルールを適切に構成すれば、準備は完了です。