我正在寻找关于如何在Pfsense中设置DMZ并在DMZ中放置一些虚拟服务器的networking技巧。 现在我的networking看起来像:
Uverse(静态IP) – > Pfsense – > WAN – > (虚拟IP / CARP / NAT 1:1到虚拟服务器的内部IP地址)
对于Uverse,我必须设置虚拟IP / CARP来通过广域网传输外部静态IP。
这个configuration工作的很好,我的虚拟服务器(Web服务器和Exchange服务器)正在获取它们各自的外部IP地址。 我也设置了各自的防火墙规则,只允许端口打开。
我想要做的就是将这些虚拟机放在DMZ中,以最好地保护我的内部networking。 我的虚拟机正在ESXI 5.0上运行。 我的Pfsense服务器(2.0.1)具有4个NIC。 目前正在使用4个中的2个; 1个WAN,1个LAN。
任何有关如何设置Pfsense和ESXI / VSphere将这些虚拟机置于DMZ中的帮助/指导也允许我通过内部networking连接到这些虚拟机,但是同时保护我的内部networking不受这些服务器的影响腐败。 我的ESXI主机有2个物理NICS。
我用pfSense,Xenserver和一些procurves做了这个。
我添加了一个标记的VLAN到我的pfSense盒子的lan接口。
然后,我将标记添加到我的交换机,以便从我的路由器/ FW到我的Xenserver池的端口…这是因为我在池中有多个主机,意味着标记位于池可以访问的所有端口上。
然后,在Xenserver中,我创build了一个包含标签的新networking。 然后我做了只能访问DMZ vlan的虚拟机。
在PFsense中,我允许DMZ vlan(这是一个完整的界面,就像任何其他)到外面的世界,并阻止所有的局域网。
我做了这个创build一个新的vSwitch,在这个vSwitch你需要把2台服务器。 这个新的vSwitch为您提供了一个虚拟networking。 将这个新的networking添加到pfsense的另一个接口,然后在DMZ内的pfsense中configuration新的专用networking。