我有一个虚拟机的networking,每个都有一个LAN IP地址和一个公共IP地址。 他们每个人都有一个1:1的NAT映射,通过公共IP访问HTTP,SSH等公共访问。我试图找出一种方法来限制LAN IP互相沟通,但也有一些情况下,一组局域网IP将需要通信。
我使用pfSense作为192.168.0.0/24configuration中的防火墙/路由器。
似乎我可以分配每个虚拟机它自己的子网,并添加一个静态路由到该虚拟机的防火墙返回到防火墙的互联网访问和其他防火墙规则。 是对的吗?
我分配了1个VM:
address 192.168.1.2 netmask 255.255.255.254 gateway 192.168.1.1
然后在FW的LAN接口上添加一条静态路由,使用192.168.1.0/30作为目的networking, 192.168.1.1作为网关。
没有什么似乎工作,所以任何人有任何想法? 请注意,我不熟悉子网。
谢谢!
你在虚拟机上运行什么操作系统? 在机器上使用内部防火墙可能更容易。 这样你可以select每个虚拟机响应的地址。
Mask = 255.255.255.254 ???? 看看这个
Network Net Broadcast CIDR Mask UsableHosts 192.168.1.0 192.168.1.3 30 255.255.255.252 2 192.168.1.4 192.168.1.7 30 255.255.255.252 2 192.168.1.8 192.168.1.11 30 255.255.255.252 2 192.168.1.12 192.168.1.15 30 255.255.255.252 2
输出如果从我的子网规划器
我不明白你为什么要这样做:
“然后在FW的LAN接口上添加一条静态路由,使用192.168.1.0/30作为目标networking,192.168.1.1作为网关。
为每个虚拟机或客户创build一个VLAN。 分配一个合适的networking,/ 30或更大。 第一个地址是networking,第二个是该子网上的防火墙IP,另一个是剩下的,直到虚拟机使用广播。
就是这样,您只需要为VLAN接口添加规则,或者您更喜欢VLAN内的IP。
大多数防火墙规则使用与子网掩码相同的掩码,但可用于定位子网内的多个子网或IP地址块。
因此,请保持网关不变,但将虚拟机IP地址分组在一起,以便可以编写指定这些虚拟机的掩码。 您可以使用掩码255.255.255.255定位一个IP地址。 您可以使用CIDR计算器来帮助您了解这一点,或者查看Gary A. Donohue出色的Network Warrior书中的IP分配图 。