Soy un poco nuevo en la configuración de redes con ESXi y trabajando con pfsense, así que disculpe si esto no se puede hacer o si estoy preguntando algo de manera incorrecta.
Estoy usando ESXi 5.5.0 y quiero alojar algunos honeypots en mi red que sean accesibles a Internet, pero los honeypots en sí no pueden acceder a nada fuera de su subred. Lo ideal sería reenviar puertos específicos como 21, 22, 80, 443 a varias máquinas honeypot.
Ahora, también estoy alojando esto en casa, por lo que me gustaría separar mi red de honeypot de mi red doméstica. Mi red doméstica no debería poder tocar nada en la red del honeypot y viceversa.
Mi configuración actual es la siguiente: Internet -> módem -> combinación de enrutador/conmutador de consumo. En ese combo de interruptores están mis dispositivos inalámbricos y otros dispositivos domésticos. También se adjunta a él mi servidor ESXi. Mi servidor ESXi también tiene la siguiente configuración de red:
Y mi caja pfsense tiene las siguientes interfaces:
En este punto, casi todo funciona excepto dos problemas:
- Las cajas en mi red honeypot (10.0.0.x) pueden comunicarse con cajas en mi red doméstica (192.168.1.x)
- El servidor DHCP que se ejecuta en mi interfaz LAN pfsense (em1) está entregando direcciones IP que mi enrutador de consumo debería entregar. Entonces, cuando mi teléfono se conecta a mi wifi, obtiene una dirección de pfsense, cuando no debería ser así.
Entonces mi pregunta es, ¿cómo puedo segregar esto adecuadamente para que las dos redes no puedan comunicarse entre sí y que DHCP no distribuya direcciones fuera de su red?
¡Gracias! ¡Realmente aprecio la ayuda!
Respuesta1
Configure una regla de IPTables para reducir el tráfico de 10.0.0.0/24 a 192.168.1.0/24
Desactive DHCP en su equipo pfsense si no lo necesita y configure estáticamente las direcciones IP en su red honeypot. No desea que los cuadros actualicen su concesión DHCP si tiene reglas de firewall/NAT que apuntan a direcciones IP específicas.
Asegúrese de haber desactivado la capacidad de administrar su enrutador/firewall (¿pfsense en este caso?) desde su honeypot. En el caso de que una de tus cajas se arraigue, no querrás que pueda liberarse.
Asegúrese de saber lo que está haciendo antes de abrir las compuertas de Internet a sus honeypots; una mala configuración podría tener consecuencias desastrosas.
Respuesta2
"Asegúrese de saber lo que está haciendo antes de abrir las compuertas de Internet a sus honeypots; una mala configuración podría tener consecuencias desastrosas".
Preste mucha atención a esto: es un gran consejo.
También sugeriría, si puede hacerlo, tal vez instalar o implementar algún tipo de intermediario para escanear ese tráfico, como una versión gratuita/de desarrollo de ArcSight o cualquier McAfee DLP. Estás a punto de exponerte.
Respuesta3
Antes de mirar iptables o cualquier otra cosa.
¿Dónde están conectados los 2 cables Ethernet asignados a vmnic0 y vmnic1?
Esas 2 conexiones deben existir en su host VMware (en NIC Ethernet físicas separadas) y estar conectadas físicamente a diferentes sistemas, es decir, una a la caja pFsense y otra a su LAN.
En otras palabras, asegúrese de que su capa física 2 esté separada antes de intentar cualquier cosa exótica.
============================= Estructura ===================== 1) ¿Dónde está tu conexión WAN? pFsense necesita 2 vnics, 1 de los cuales debe conectarse físicamente a su WAN física (no a la LAN etiquetada como WAN en su configuración)
Así que AFAIK necesitas 3 vnics aislados para hacer lo que quieres.
1) LAN/Mgmgnt 2) Red Honeypot 3) su conexión WAN a PFsense
en ningún momento puede conectar cualquiera de los 3 Ethernet que salen de su host VMware al mismo conmutador o concentrador a menos que configure el aislamiento entre los puertos involucrados.
de lo contrario, la diafonía llegará al nivel del cobre (capa 2).