将公共 IP 地址传递给 pfSense

Question

我的数据中心中有一台服务器，它有多个公开路由的 IP 地址，我现在正在运行 ESXi 来管理它。

之前，我在创建网络的主机下运行了一些虚拟机：

   inet
[x.x.x.210] -- Host OS
  |-- .211  -- VM 1
  \-- .212  -- VM 2

现在，我想在 pfSense 和 VMware 下执行以下操作：

   inet                      lan
[x.x.x.210] -- (NAT) -- [192.168.1.1]
  |-- .211  -- VM1        |--     .2 -- VM3
  \-- .212  -- VM2        \--     .3 -- VM4

VM3 和 VM4 获得 pfSense NAT 的私有 IP，VM1 和 VM2 仍在同一适配器上通过，但现在获得自己的公共 IP。

我在导航 pfSense 的界面以弄清楚应该如何完成时遇到问题。我更喜欢仍然通过 DHCP 分发公共 IP，这样一旦 pfSense 支持，我就可以添加 IPv6 隧道。此外，仍然能够使用 pfSense 作为防火墙也是最好的（否则它会破坏目的）

Answer 1

听起来您希望在桥接模式下添加 DMZ。

1. 创建一个未连接到任何物理接口的新虚拟交换机。
2. 编辑新虚拟交换机的属性并将 vswitch 配置更改为“接受”混杂模式 <-- 没有 PFSense 的桥接模式将无法工作。
3. 在 PFsense 上添加并启用接口，不要为该接口分配 IP 地址。
4. 在 PFSense 中将此接口与 WAN 接口桥接。
5. 在 vmware 中，将新的 PFSense 接口添加到虚拟交换机。
6. 将您希望拥有公共 IP 的所有系统添加到虚拟交换机并分配公共 IP
7. 在 WAN 规则选项卡上为这些系统创建入站规则。
8. 在 DMZ 选项卡上为 DMZ 系统创建出站规则 <--假设您将新的 PFSense 接口命名为 DMZ ;)

注意事项：

• DMZ 中的所有系统都至少需要一个规则才能让流量流出。
• 你的 vswitch必须接受混杂模式
• 您的 DMZ 接口必须与 WAN 接口桥接。

奖励 - 将 snort 包添加到您的 WAN 接口，您将拥有一个很棒的 IDS/IPS 防火墙！

Answer 2

对公共 IP 使用专用的纯虚拟 vswitch，将其分配在防火墙上作为附加 NIC 和分配的接口，并将具有公共 IP 的服务器放在那里。将该接口桥接到 WAN，相应地配置防火墙规则，然后就可以开始了。