ESXi + pfsense トラフィック分離

tag-icon tag-icon networking esxi pfsense honeypot
ESXi + pfsense トラフィック分離

私は ESXi でネットワークを設定したり、pfsense を使用したりするのは初心者なので、これができない場合や、質問の仕方が間違っている場合はご容赦ください。

私は ESXi 5.5.0 を使用しており、インターネットにアクセスできるハニーポットをネットワーク上にホストしたいのですが、ハニーポット自体はサブネット外にはアクセスできません。理想的には、21、22、80、443 などの特定のポートをさまざまなハニーポット マシンにポート転送します。

現在、私はこれを自宅でもホストしているので、ハニーポット ネットワークを自宅のネットワークから分離したいと考えています。自宅のネットワークはハニーポット ネットワーク内の何にもアクセスできないようにする必要があります。逆も同様です。

私の現在のセットアップは、インターネット -> モデム -> コンシューマー ルーター/スイッチ コンボです。このスイッチ コンボには、ワイヤレス デバイスとその他の家庭用デバイスが接続されています。また、ESXi サーバーも接続されています。私の ESXi サーバーには、次のネットワーク セットアップもあります。

ESXi ネットワーク

私の pfsense ボックスには次のインターフェースがあります。

pfsense インターフェース

この時点では、次の 2 つの問題を除いて、ほぼすべてが機能しています。

  1. 私のハニーポットネットワーク(10.0.0.x)内のボックスは、私のホームネットワーク(192.168.1.x)内のボックスと通信できます。
  2. 私の pfsense LAN インターフェイス (em1) で実行されている DHCP サーバーは、私のコンシューマー ルーターが配布すべき IP アドレスを配布しています。そのため、私の電話が Wi-Fi に接続すると、本来は取得すべきではないアドレスが pfsense から取得されます。

そこで私の質問は、2 つのネットワークが相互に通信できず、DHCP がネットワーク外部にアドレスを配布しないように、これを適切に分離するにはどうすればよいかということです。

ありがとう!本当に助かりました!

答え1

  1. 10.0.0.0/24から192.168.1.0/24への転送トラフィックをドロップするIPTablesルールを設定します。

  2. 必要ない場合は pfsense ボックスの DHCP をオフにし、ハニーポット ネットワークの IP アドレスを静的に設定します。ファイアウォール/NAT ルールが特定の IP アドレスを指している場合は、ボックスが DHCP リースを更新しないようにする必要があります。

  3. ハニーポットからルーター/ファイアウォール (この場合は pfsense?) を管理する機能が無効になっていることを確認してください。ボックスの 1 つがルート化された場合に、そこから抜け出せないようにする必要があります。

  4. インターネットからハニーポットへの扉を開く前に、自分が何をしているのかをしっかり理解しておいてください。誤った設定は悲惨な結果を招く可能性があります。

答え2

「インターネットからハニーポットへの扉を開く前に、自分が何をしているのかをしっかり理解しておいてください。設定ミスは悲惨な結果を招く可能性があります。」

これに細心の注意を払ってください。これは素晴らしいアドバイスです。

また、可能であれば、ArcSight の開発版/無料版や McAfee DLP など、そのトラフィックをスキャンするための何らかの仲介者をインストールまたは展開することをお勧めします。あなたは、自分自身を危険にさらそうとしているのです。

答え3

Iptables やその他のものを見る前に。

vmnic0 と vmnic1 にマッピングされている 2 本のイーサネット ケーブルはどこに接続されていますか?

これら 2 つの接続は、VMware ホスト上に存在し、別々の物理イーサネット NIC 上に存在し、異なるシステムに物理的に接続されている必要があります (つまり、1 つは pFsense ボックスに接続し、もう 1 つは LAN に接続します)。

つまり、eotic を試す前に、物理レイヤー 2 が分離されていることを確認してください。

============================= 構造 ====================== 1) WAN 接続はどこにありますか? pFsense には 2 つの vnic が必要です。そのうち 1 つは物理 WAN (セットアップで WAN としてラベル付けされている LAN ではありません) に物理的に接続する必要があります。

したがって、私の知る限り、必要なことを実行するには 3 つの独立した vnic が必要です。

1) LAN/管理 2) ハニーポットネットワーク 3) PFsenseへのWAN接続

関係するポート間の分離を構成しない限り、VMware ホストから出力される 3 つのイーサネットのいずれかを同じスイッチまたはハブに接続することはできません。

そうしないと、クロストークは銅線(レイヤー 2)レベルで発生します。

関連情報