Сегрегація трафіку ESXi + pfsense

0

Мені щось нове, як налаштувати мережу з ESXi та працювати з pfsense, тому, будь ласка, вибачте, якщо цього не вдається зробити, або я прошу щось не так.

Я використовую ESXi 5.5.0 і хочу розмістити в своїй мережі декілька медоносних горщиків, доступних до Інтернету, але самі медоноси не можуть отримати доступ ні до чого, крім своєї підмережі. В ідеалі я б переправляв конкретні порти, такі як 21, 22, 80, 443, в різні машини для медоносів.

Зараз я також розміщую це вдома, тому я хотів би відокремити свою мережу медоносів від своєї домашньої мережі. Моя домашня мережа не повинна мати можливість торкатися нічого в мережі медоносів, і навпаки.

Моя поточна настройка така: Інтернет -> модем -> комбінований маршрутизатор / перемикач споживачів. На цьому перемиканні комбо є мої бездротові пристрої та інші домашні пристрої. До нього також додається мій сервер ESXi. Мій сервер ESXi також має такі налаштування мережі:

Мережа ESXi

І мій вікно pfsense має такі інтерфейси:

інтерфейси pfsense

На даний момент в основному все працює, окрім двох питань:

  1. Коробки в моїй мережевій мережі (10.0.0.x) можуть спілкуватися з ящиками в моїй домашній мережі (192.168.1.x)
  2. DHCP-сервер, що працює на моєму інтерфейсі локальної мережі pfsense (em1), роздає IP-адреси, які повинен роздавати мій маршрутизатор споживача. Отже, коли мій телефон підключається до мого wifi, він отримує адресу від pfsense, коли цього не повинно бути.

Отже, моє запитання полягає в тому, як я можу зробити це правильно відокремленим, щоб дві мережі не могли розмовляти між собою і що DHCP не роздає адреси за межами своєї мережі?

Дякую! Я дуже ціную допомогу!

networking  esxi  pfsense  honeypot 
Чиггінс
джерело

Відповіді:

1

  1. Встановіть правило IPTables, щоб зменшити трафік вперед з 10.0.0.0/24 до 192.168.1.0/24

  2. Вимкніть DHCP у вікні pfsense, якщо він вам не потрібен, і статично встановіть IP-адреси у вашій мережі сот. Ви не хочете, щоб коробки оновлювали їх DHCP-оренду, якщо у вас є правила брандмауера / NAT, які вказують на конкретні IP-адреси.

  3. Переконайтеся, що ви відключили можливість керування маршрутизатором / брандмауером (в цьому випадку pfsense?). У випадку, якщо одна з ваших скриньок вкорениться, ви не хочете, щоб вони могли вирватися.

  4. Будьте добрі та впевнені, що знаєте, що робите, перш ніж відкривати ворота затоплення з Інтернету у ваші медові горщики - неправильна конфігурація може мати катастрофічні наслідки.

DKNUCKLES
джерело
1. Чи потрібно додати правило iptables безпосередньо в pfsense з командного рядка, чи є кращий спосіб зробити це через веб-інтерфейс? 2. Так, я думав над цим, напевно, гарною ідеєю встановити все статичне. 3. Також так, безумовно. Працюючи над спробою отримати доступ до нього через WAN, а потім вимкніть його з локальної мережі. 4. Найбільш точно. Я збираюся надати іншому моєму другові хакера віддалений доступ, щоб отримати ще один набір очей, щоб побачити, чи зможе він знайти спосіб вирватися. Дякую за цю відповідь!
Чіггінс
@Chiggins не має значення, де ви встановите правило (веб-чи cmd-рядок), просто переконайтеся, що вони збережені, і це потрібно робити.
DKNUCKLES
1

"Будьте добрі і впевнені, що знаєте, що робите, перш ніж відкривати ворота затоплення з Інтернету у ваші медові горщики - неправильна конфігурація може мати катастрофічні наслідки".

Зверніть на це дуже уважно - це чудова порада.

Я б також запропонував, якщо ви можете це зробити, можливо, встановіть або розгорніть якийсь посередник для сканування цього трафіку, як розроблена / безкоштовна версія ArcSight або будь-який DLA McAfee. Ви збираєтесь викрити себе.

Метью Дартес
джерело
Я думав над тим, щоб викинути екземпляр Snort для моніторингу трафіку, просто так, щоб мати краще уявлення про те, що відбувається.
Чіггінс
Напевно, гарна ідея. Ще щось, що може бути гарною думкою, оскільки ви використовуєте ESXi 5.5, - це ввімкнути VXLAN через NSX та використовувати функцію безпеки VDS - або контролювати через PowerCLI
Метью
Буду чесно, не впевнений, що таке VXLAN / VDS. Чи є ресурс, який ви могли б запропонувати?
Чіггінс
Якщо у вас є обліковий запис VMware, підпишіться на нього: vmware.com/products/nsx
Метью
1

Перш ніж переглянути iptables чи що-небудь ще.

Де два кабелі Ethernet відображені на vmnic0 та vmnic1?

Ці 2 з'єднання повинні існувати у вашого VMware-хоста - в окремих фізичних мережах Ethernet - бути фізично підключеними до різних систем, тобто одного до вікна pFsense, одного до вашої локальної мережі.

Іншими словами, переконайтеся, що ваш фізичний рівень 2 відокремлений, перш ніж спробувати щось еотичне.

============================= Структура ===================== 1) де у вас WAN-з'єднання? pFsense потребує 2 винників, 1 з яких повинен фізично підключитися до вашої фізичної WAN (а не локальну мережу, яку ви вказали як WAN у ваших налаштуваннях)

тож AFAIK вам потрібно 3 ізольованих вінікси, щоб робити те, що ви хочете.

1) LAN / Mgmgnt 2) Медова мережа 3) Ви WAN-з'єднання в PFsense

ні в якому разі не можна підключати будь-яку з 3-х мереж, що виходять з вашого хоста VMware, в один і той же комутатор концентратора, якщо ви не налаштовуєте ізоляцію між залученими портами.

інакше ваша перехресна розмова надходить на рівні міді (шар 2).

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.