Я новичок в настройке сетей с ESXi и работе с pfsense, поэтому прошу прощения, если это невозможно сделать или я спрашиваю что-то не так.
Я использую ESXi 5.5.0 и хочу разместить в своей сети несколько honeypots, которые будут доступны из интернета, но сами honeypots не смогут получить доступ ни к чему за пределами своей подсети. В идеале я бы перенаправил определенные порты, например 21, 22, 80, 443, на различные машины honeypot.
Теперь, я также размещаю это дома, поэтому я хотел бы отделить свою сеть honeypot от моей домашней сети. Моя домашняя сеть не должна иметь возможности касаться чего-либо в сети honeypot, и наоборот.
Моя текущая настройка такова: Интернет -> модем -> потребительский маршрутизатор/коммутатор. На этом коммутаторе находятся мои беспроводные устройства и другие домашние устройства. К нему также подключен мой сервер ESXi. Мой сервер ESXi также имеет следующую сетевую настройку:
А мой pfsense box имеет следующие интерфейсы:
На данный момент в основном все работает, за исключением двух проблем:
- Устройства в моей сети honeypot (10.0.0.x) могут взаимодействовать с устройствами в моей домашней сети (192.168.1.x)
- DHCP-сервер, работающий на моем интерфейсе локальной сети pfsense (em1), раздает IP-адреса, которые должен раздавать мой маршрутизатор-потребитель. Поэтому, когда мой телефон подключается к моему Wi-Fi, он получает адрес от pfsense, хотя не должен.
Итак, мой вопрос: как мне правильно это разделить, чтобы две сети не могли взаимодействовать друг с другом и чтобы DHCP не раздавал адреса за пределами своей сети?
Спасибо! Я очень ценю помощь!
решение1
Настройте правило IPTables для перенаправления трафика с 10.0.0.0/24 на 192.168.1.0/24
Отключите DHCP на вашем pfsense box, если он вам не нужен, и статически установите IP-адреса в вашей сети honeypot. Вы не хотите, чтобы box обновляли свою аренду DHCP, если у вас есть правила брандмауэра / NAT, указывающие на определенные IP-адреса.
Убедитесь, что вы отключили возможность администрирования вашего маршрутизатора/брандмауэра (в данном случае pfsense?) из вашего honeypot. В случае, если один из ваших ящиков получит root-доступ, вы не хотите, чтобы они смогли освободиться.
Прежде чем открыть шлюзы из Интернета в свои приманки, убедитесь, что вы знаете, что делаете, — неправильная настройка может иметь катастрофические последствия.
решение2
«Прежде чем открыть шлюзы из Интернета в свои приманки, убедитесь, что вы знаете, что делаете, — неправильная настройка может иметь катастрофические последствия».
Обратите на это особое внимание — это отличный совет.
Я бы также предложил, если вы можете это сделать, возможно, установить или развернуть какой-то посредник для сканирования этого трафика, например, dev/free версию ArcSight или любой McAfee DLP. Вы собираетесь раскрыть себя.
решение3
Прежде чем смотреть на iptables или что-то еще.
Где подключены два кабеля Ethernet, подключенные к vmnic0 и vmnic1?
Эти два соединения должны существовать на вашем хосте VMware — на отдельных физических сетевых картах Ethernet — и быть физически подключены к разным системам, т. е. одно к блоку pFsense, другое к вашей локальной сети.
Другими словами, прежде чем пытаться сделать что-то необычное, убедитесь, что ваш физический уровень 2 отделен.
============================ Структура ====================== 1) где находится ваше WAN-соединение? Для pFsense требуется 2 vnics, 1 из которых должен физически подключаться к вашей физической WAN (а не к локальной сети, обозначенной как WAN в вашей настройке)
насколько мне известно, вам нужно 3 изолированных vnic, чтобы сделать то, что вы хотите.
1) LAN/Mgmgnt 2) Сеть Honeypot 3) Ваше WAN-подключение к PFsense
ни в коем случае нельзя подключать ни один из трех портов Ethernet, выходящих из хоста VMware, к одному и тому же коммутатору или концентратору, если не настроить изоляцию между задействованными портами.
в противном случае перекрестные помехи будут возникать на уровне меди (слой 2).