ESXi + pfsense разделение трафика

Question

Я новичок в настройке сети с ESXi и работе с pfsense, поэтому, пожалуйста, извините, если это невозможно, или я спрашиваю что-то неправильно.

Я использую ESXi 5.5.0 и хочу разместить в своей сети несколько honeypot, которые доступны для интернета, но сами honeypots не могут получить доступ ни к чему, кроме своей подсети. В идеале я бы перенаправлял определенные порты, такие как 21, 22, 80, 443, на разные приманочные машины.

Теперь я также принимаю это у себя дома, поэтому я хотел бы отделить свою сеть honeypot от моей домашней сети. Моя домашняя сеть не должна ничего касаться в сети honeypot, и наоборот.

Моя текущая настройка такова: Интернет -> модем -> потребительский маршрутизатор / коммутатор. На этом коммутаторе находятся мои беспроводные устройства и другие домашние устройства. Также к нему прикреплен мой сервер ESXi. Мой сервер ESXi также имеет следующие настройки сети:

И у моей коробки pfsense есть следующие интерфейсы:

На данный момент в основном все работает, кроме двух вопросов:

1. Ящики в моей сети honeypot (10.0.0.x) могут общаться с ящиками в моей домашней сети (192.168.1.x)
2. Сервер DHCP, работающий на моем интерфейсе локальной сети pfsense (em1), передает IP-адреса, которые должен выдавать мой потребительский маршрутизатор. Поэтому, когда мой телефон подключается к моему Wi-Fi, он получает адрес от pfsense, когда это не должно быть.

Итак, мой вопрос: как я могу сделать это должным образом разделенным, чтобы две сети не могли общаться друг с другом и чтобы DHCP не передавал адреса за пределы своей сети?

Спасибо! Я очень ценю помощь!

Answer 1

1. Настройте правило IPTables, чтобы сбросить трафик переадресации с 10.0.0.0/24 до 192.168.1.0/24.

2. Выключите DHCP на вашем pfsense box, если он вам не нужен, и статически установите IP-адреса в вашей сети honeypot. Вы не хотите, чтобы блоки обновляли аренду DHCP, если у вас есть правила брандмауэра / NAT, указывающие на конкретные IP-адреса.

3. Убедитесь, что вы отключили возможность администрирования вашего маршрутизатора / брандмауэра (pfsense в данном случае?) из вашей приманки. Если одна из ваших коробок укоренена, вы не хотите, чтобы они могли вырваться на свободу.

4. Убедитесь, что знаете, что делаете, прежде чем открывать шлюзы из Интернета для своих приманок - неправильная конфигурация может иметь катастрофические последствия.

Answer 2

«Будьте добры и убедитесь, что вы знаете, что делаете, прежде чем открывать шлюзы из Интернета для своих приманок - неправильная конфигурация может иметь катастрофические последствия».

Обратите на это внимание очень внимательно - это отличный совет.

Я также хотел бы предложить, если вы можете сделать это, возможно, установить или развернуть какое-то промежуточное звено для сканирования этого трафика, например dev/free версию ArcSight или любую McAfee DLP. Вы собираетесь разоблачить себя.

Answer 3

Прежде чем смотреть на Iptables или что-нибудь еще.

Где подключены 2 кабеля Ethernet к vmnic0 и vmnic1?

Эти 2 соединения должны существовать на вашем хосте VMware - в отдельных физических сетях Ethernet - должны быть физически подключены к разным системам, т. Е. Одно к блоку pFsense, другое к вашей локальной сети.

Другими словами, убедитесь, что ваш физический уровень 2 отделен, прежде чем пытаться что-то эотичное.

============================ Структура =================== Структура 1) где находится ваше WAN-соединение? Для pFsense требуется 2 vnics, 1 из которых должен физически подключаться к вашей физической WAN (кроме того, он обозначен как WAN в вашей настройке)

так что AFAIK вам нужно 3 изолированных vnics, чтобы делать то, что вы хотите.

1) LAN/Mgmgnt 2) Honeypot сеть 3) вы WAN соединение в PFsense

Вы ни в коем случае не можете подключить какие-либо из 3 локальных сетей, выходящих из вашего хоста VMware, к одному коммутатору концентратора, если только вы не настроите изоляцию между задействованными портами.

в противном случае ваши перекрестные помехи будут на уровне меди (уровень 2).