Рейтинг:0

Виртуальные IP-адреса на pfSense

флаг fr

Настраивая новый маршрутизатор pfSense, я немного не понимаю, как выбрать между IP-псевдонимом или прокси-ARP для моих нужд. я не делайте намереваюсь настроить HA, поэтому я предполагаю, что CARP не нужен.

У меня есть общедоступный блок CIDR (203.0.113.0/26), назначенный моим провайдером и настроенный следующим образом:

Восходящий шлюз: 203.0.113.1
Вещание: 203.0.113.63
глобальная сеть pfSense: 203.0.113.2/26
Локальная сеть управления: 10.0.0.1/24
DMZ-VLAN: 10.0.10.1/26

Цель: я хочу направить оставшиеся общедоступные IP-адреса на виртуальные машины в DMZ VLAN с использованием NAT 1:1. Эти серверы будут общедоступными веб-серверами. я делать планируете использовать pfBlockerNG для ограничения нежелательного трафика.

Вопрос: Какой вариант настройки виртуальных IP-адресов для данной цели должен быть предпочтительным (или единственным) и почему? Я прочитал документацию по pfSense, но все еще не уверен на 100%. Есть ли окончательный ответ или оба метода приемлемы?

https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses.html?highlight=virtual

Paul avatar
флаг cn
Добро пожаловать в Server Fault! Используйте либо свои фактические IP-адреса, либо IP-адреса, зарезервированные для документации, как указано в RFC 5737. Использование чужих назначенных IP-адресов может привести к путанице, особенно при использовании общеизвестных назначенных IP-адресов.
Рейтинг:0
флаг pl

Я несколько раз настраивал NAT 1-к-1 для общедоступных IP-адресов и всегда использую ProxyARP.

Основное различие между псевдонимами IP и ProxyARP заключается в том, что псевдонимы также могут быть привязаны к локальным службам, работающим на машине pfSense. Поскольку это не то, что вы делаете, нет причин настраивать это, чтобы это было разрешено. (Обратите внимание, что в дополнение к NAT 1-к-1 адреса ProxyARP также могут использоваться для переадресации отдельных портов.)

Одно важное замечание о настройке ProxyARP: с некоторыми провайдерами вы можете настроить pfSense для ответа на всю подсеть с помощью одной записи ProxyARP, но для других провайдеров вам необходимо добавить отдельную запись ProxyARP для каждого общедоступного IP-адреса. Я не знаю, почему это так, но я обнаружил, что это верно с несколькими поставщиками.

Justin Buckley avatar
флаг fr
Спасибо за ваш ответ! Что касается вашего комментария о переадресации отдельных портов, означает ли это создание правила переадресации портов с указанием адреса ProxyARP в качестве пункта назначения? Также об опции Expansion в конфигурации ProxyARP: Отключите расширение этой записи на IP-адреса в списках NAT (например, 192.168.1.0/24 расширяется до 256 записей). Действительно ли это отключает спецификацию всей подсети и вместо этого регистрирует ее как отдельный хост, или это означает что-то другое?
флаг pl
Да, вы можете указать адрес ProxyARP в качестве адреса назначения для переадресации портов. Мы используем это вместе с NAT 1-к-1, поэтому мы можем сказать: «NAT 1-к-1 с этого общедоступного IP-адреса на один внутренний сервер, за исключением этих портов на этом адресе, которые идут на другой сервер».
флаг pl
Я никогда не использовал флажок «Отключить расширение».

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.