我對使用 ESXi 設定網路和使用 pfsense 不太熟悉,所以如果無法完成此操作或我問錯了問題,請原諒。
我使用的是 ESXi 5.5.0,我想在我的網路上託管一些可透過 Internet 存取的蜜罐,但蜜罐本身無法存取其子網路以外的任何內容。理想情況下,我會將特定連接埠(例如 21、22、80、443)轉發到各種蜜罐機器中。
現在,我也在家裡託管這個,所以我想將我的蜜罐網路與我的家庭網路分開。我的家庭網路不應該能夠接觸蜜罐網路中的任何內容,反之亦然。
我目前的設定是這樣的:互聯網 -> 數據機 -> 消費者路由器/交換器組合。此開關組合上有我的無線設備和其他家用設備。它還附加了我的 ESXi 伺服器。我的 ESXi 伺服器還具有以下網路設定:
我的pfsense盒子有以下介面:
至此,除了兩個問題之外,大部分內容都正常:
- 我的蜜罐網路 (10.0.0.x) 中的盒子可以與我的家庭網路 (192.168.1.x) 中的盒子通信
- 在我的 pfsense LAN 介面 (em1) 上運行的 DHCP 伺服器正在分發我的消費者路由器應該分發的 IP 位址。因此,當我的手機連接到我的 wifi 時,它會從 pfsense 取得一個位址,而它不應該是這樣。
所以我的問題是,如何正確隔離,以便兩個網路無法相互通信,並且 DHCP 不會在其網路之外分發位址?
謝謝!我真的很感謝你的幫忙!
答案1
設定 IPTables 規則以丟棄從 10.0.0.0/24 到 192.168.1.0/24 的轉送流量
如果不需要,請關閉 pfsense 盒子上的 DHCP,並在蜜罐網路上靜態設定 IP 位址。如果您有指向特定 IP 位址的防火牆/NAT 規則,您不希望裝置刷新其 DHCP 租約。
確保您已停用從蜜罐管理路由器/防火牆(在本例中為 pfsense?)的功能。如果您的其中一個盒子被紮根,您不希望它們能夠掙脫出來。
在打開從網路到你的蜜罐的閘門之前,請確保你知道自己在做什麼——錯誤的配置可能會帶來災難性的後果。
答案2
“在打開從互聯網到你的蜜罐的閘門之前,請確保你知道自己在做什麼——錯誤的配置可能會帶來災難性的後果。”
請密切注意這一點——這是很好的建議。
我還建議您是否可以這樣做,也許可以安裝或部署某種中介來掃描該流量,例如 ArcSight 的開發/免費版本或任何 McAfee DLP。你快要暴露自己了
答案3
在查看 iptables 或其他任何東西之前。
映射到 vmnic0 和 vmnic1 的 2 條乙太網路電纜連接在哪裡?
這 2 個連線必須存在於您的 VMware 主機上 - 在單獨的實體乙太網路卡上 - 實體連接到不同的系統,即一個連接到 pFsense 盒子,一個連接到您的 LAN。
換句話說,在嘗試任何色情內容之前,請確保您的物理層 2 是分開的。
=============================結構====================== 1) 您的WAN 連線在哪裡? pFsense 需要 2 個 vnic,其中 1 個必須實際連接到您的實體 WAN(不是您設定中標記為 WAN 的 LAN)
所以據我所知,您需要 3 個獨立的 vnic 來完成您想要的操作。
1) LAN/Mgmgnt 2) 蜜罐網路 3) 與 PFsense 的 WAN 連接
除非您在所涉及的連接埠之間配置隔離,否則您絕不能將從 VMware 主機發出的 3 個乙太網路中的任何一個插入到同一個集線器交換器中。
否則串擾將出現在銅(第 2 層)層級。