Порт перенаправляет удаленный трафик через физический маршрутизатор для прохождения через виртуальную машину pfsense, а затем на веб-сервер centos VM

Question

Я надеюсь, что это имеет смысл, я полностью самоучка и планирую пойти на формальное обучение. Насколько я понимаю, это возможно, однако я не смог найти окончательных ответов на мою ситуацию.

Я пытаюсь использовать виртуальную машину pfSense в качестве маршрутизатора / брандмауэра для своей внутренней сети виртуальных машин - маршрутизирую весь трафик от виртуальных машин через pfsense до физического маршрутизатора / модема, а затем на дикую природу и наоборот

У меня возникают проблемы с переадресацией удаленного входящего трафика из Интернета через мой физический модем / маршрутизатор (192.168.0.1) на виртуальную машину pfSense с мостовым соединением (2 сетевых карты; 1. WAN 192.168.0.30 - 2. LAN 192.168.1.1) и затем через мой веб-сервер centOS (192.168.1.102)

     Physical Modem     Public IP (example 25.60.124.30) not actual ip*

     physical router    cisco default gateway  (192.168.0.1)

     guest VM           pfsense (bridged 192.168.0.30, IntNet 192.168.1.1)

     guest VM           CentOS (IntNet 192.168.1.102)

В настоящее время весь исходящий трафик моих виртуальных машин проходит через pfSense и имеет доступ к Интернету. У меня проблемы с входящим трафиком на виртуальную машину веб-сервера. Я создал правила перенаправления портов как на физическом маршрутизаторе, так и в pfsense, но безуспешно.

Мой вопрос:

Это просто вопрос переадресации порта удаленного трафика с моего публичного IP-адреса через порт 80 на мой IP-адрес WAN pfsense, а затем пересылки с pfsense на мой сервер centOS?

То есть. удаленное подключение -> мой публичный ip(физический модем / маршрутизатор в моем доме) -> мостовой pfsense vm LAN ip -> centOS VM ip

или же

Нужно ли каким-либо образом перенести порт с моего публичного IP-адреса на порт 80 в WAN на pfsense, затем на IP-адрес локальной сети на pfsense, прежде чем я снова переадресую на centOS?

то есть. удаленное подключение -> мой публичный ip(физический модем / маршрутизатор в моем доме) -> мостовой pfsense vm WAN ip -> мостовой pfsense LAN ip -> centOS VM ip

Есть ли что-то, что я упускаю, или я слишком упростил это в своем уме, и это просто невозможно?

Я нуб; пожалуйста будьте милы:3

Answer 1

Нужно ли каким-либо образом перенести порт с моего публичного IP-адреса на порт 80 в WAN на pfsense, затем на IP-адрес локальной сети на pfsense, прежде чем я снова переадресую на centOS?

Да - для трафика из интернета

Нет - для трафика с вашей локальной сети.

Ваша установка - довольно стандартная лабораторная установка, и у вас есть несколько доступных вариантов.

Из того, что я прочитал / что я думаю ... у вас есть:

Публичный ip на роутере WAN и LAN это 192.168.0.1/24

В лаборатории есть 2 сетевых устройства, номер 1 находится в вашей основной локальной сети @ 192.168.0.30/24, а ваш номер LAB-LAN - 192.168.1.1/24.

Исходя из этого, вы фактически должны иметь полную маршрутизацию от LAN к LAB-LAN, так что есть несколько различных способов получения доступа к веб-серверу на 192.168.1.102.

Доступ из Интернета. Для этого на главном маршрутизаторе (192.168.0.1) необходимо создать правило порта 80 NAT, которое указывает на IP-адрес локальной сети PFSense (192.168.0.30). В поле PFSense вам необходимо создать правило NAT, которое указывает на 192.168.1.102.

Доступ из локальной сети - для этого у вас есть три варианта - если вы делаете так, как указано выше, и ваш основной маршрутизатор поддерживает NAT Loopback (или отражение / подобное), вы можете получить доступ к сайту через:

http://192.168.0.1 (utilising nat loopback on main router)

http://public.ip.goes.here (utilising nat loopback on main router)

http://192.168.0.30 (utilising standard nat rule on pfsense)

В качестве альтернативы, поскольку должна существовать маршрутизация, вы также должны иметь возможность доступа к сайту без создания каких-либо правил NAT с помощью:

http://192.168.1.102

Но, похоже, вы уже пытались создать оба правила NAT ... основываясь на этом, я бы сказал, проверьте ваш брандмауэр и, возможно, на PFSense просто отключите его сейчас, чтобы он действовал как чистый маршрутизатор, чтобы сделать его проще учить...

Answer 2

Похоже, у вас есть хороший вариант использования функции DMZ вашего маршрутизатора. Вы не говорите, какая у вас модель конкретного маршрутизатора, поэтому я не могу дать конкретных инструкций, но вы бы хотели указать DMZ на вашу виртуальную машину pfSense.

Это будет перенаправлять весь несвязанный (не NAT) трафик на вашу виртуальную машину pfSense. Затем вы можете использовать свой pfSense для брандмауэра и перенести порт на ваш веб-сервер.