Sou meio novo na configuração de redes com ESXi e no trabalho com o pfsense, então desculpe se isso não puder ser feito ou estou perguntando algo da maneira errada.
Estou usando o ESXi 5.5.0 e quero hospedar alguns honeypots em minha rede que sejam acessíveis à Internet, mas os próprios honeypots não conseguem acessar nada fora de sua sub-rede. Idealmente, eu encaminharia portas específicas como 21, 22, 80, 443 para várias máquinas honeypot.
Agora, também estou hospedando isso em casa, então gostaria de separar minha rede honeypot da minha rede doméstica. Minha rede doméstica não deveria poder tocar em nada na rede honeypot e vice-versa.
Minha configuração atual é esta: Internet -> modem -> combinação roteador/switch do consumidor. Nesse combo de switch estão meus dispositivos sem fio e outros dispositivos domésticos. Também anexado a ele está meu servidor ESXi. Meu servidor ESXi também possui a seguinte configuração de rede:
E minha caixa pfsense possui as seguintes interfaces:
Neste ponto, quase tudo está funcionando, exceto por dois problemas:
- As caixas na minha rede honeypot (10.0.0.x) podem se comunicar com as caixas na minha rede doméstica (192.168.1.x)
- O servidor DHCP em execução na minha interface LAN pfsense (em1) está distribuindo endereços IP que meu roteador consumidor deveria distribuir. Então, quando meu telefone se conecta ao meu wifi, ele recebe um endereço do pfsense, quando não deveria.
Então, minha pergunta é: como posso segregar isso adequadamente para que as duas redes não possam se comunicar e que o DHCP não distribua endereços fora de sua rede?
Obrigado! Eu realmente aprecio a ajuda!
Responder1
Configure uma regra IPTables para encaminhar o tráfego de 10.0.0.0/24 para 192.168.1.0/24
Desative o DHCP em sua caixa pfsense se não precisar dele e defina endereços IP estaticamente em sua rede honeypot. Você não deseja que as caixas atualizem sua concessão de DHCP se você tiver regras de firewall/NAT apontando para endereços IP específicos.
Certifique-se de ter desabilitado a capacidade de administrar seu roteador/firewall (pfsense neste caso?) Do seu honeypot. No caso de uma de suas caixas ficar enraizada, você não quer que elas se soltem.
Certifique-se de saber o que está fazendo antes de abrir as comportas da Internet para seus honeypots - uma configuração incorreta pode ter consequências desastrosas.
Responder2
"Certifique-se de saber o que está fazendo antes de abrir as comportas da Internet para seus honeypots - uma configuração incorreta pode ter consequências desastrosas."
Preste atenção nisso com atenção - este é um ótimo conselho.
Eu também sugeriria, se você puder fazer isso, talvez instalar ou implantar algum tipo de intermediário para verificar esse tráfego, como uma versão dev/gratuita do ArcSight ou qualquer McAfee DLP. Você está prestes a se expor.
Responder3
Antes de olhar para o iptables ou qualquer outra coisa.
Onde os 2 cabos Ethernet estão mapeados para vmnic0 e vmnic1 conectados?
Essas 2 conexões devem existir em seu host VMware - em placas Ethernet físicas separadas - estar fisicamente conectadas a sistemas diferentes, ou seja, uma para a caixa pFsense e outra para sua LAN.
Em outras palavras, certifique-se de que sua camada física 2 esteja separada antes de tentar qualquer coisa eótica.
============================ Estrutura ==================== 1) onde está sua conexão WAN? O pFsense precisa de 2 vnics, 1 dos quais deve se conectar fisicamente à sua WAN física (não à LAN rotulada como WAN na sua configuração)
então AFAIK você precisa de 3 vnics isolados para fazer o que quiser.
1) LAN/Mgmgnt 2) Rede Honeypot 3) sua conexão WAN no PFsense
em nenhum momento você poderá conectar qualquer uma das três Ethernet que saem do seu host VMware no mesmo switch de hub, a menos que você configure o isolamento entre as portas envolvidas.
caso contrário, o crosstalk chegará ao nível do cobre (camada 2).