Регистрация Войти
Рейтинг:0
avatar Server

Перенаправить весь интернет-трафик через брандмауэр

флаг cn
benjist

Я настраиваю двойную настройку брандмауэра с DMZ и внутренней сетью. Серверы представляют собой выделенные корневые серверы, на которых работает Debain Bullseye, и все они обязательно имеют сетевой адаптер с общедоступным IP-адресом.Кроме того, у серверов в DMZ есть второй сетевой адаптер, идущий к коммутатору.

Другой выделенный корневой сервер настроен как брандмауэр (pfSense), подключенный к тому же коммутатору. Теперь я хочу направить весь входящий трафик с каждого выделенного корневого сервера через этот брандмауэр, направив весь трафик от общедоступных сетевых адаптеров через второй сетевой адаптер, затем через брандмауэр и обратно.

Я борюсь с настройкой сетевого интерфейса Debian. Не могли бы вы предоставить мне пример конфигурации, как такая перемаршрутизация должна быть выполнена?

ОБНОВИТЬ

Это моя голая конфигурация на данный момент (IP-адреса, конечно, поддельные). Как мне изменить конфигурацию, чтобы использовать сервер pfSense в качестве шлюза, как это предлагается?

авто вот
iFace Lo Inet Loopback
петля iface lo inet6

авто enp8s0
iface enp8s0 инет статический
  адрес 99.23.95.122
  сетевая маска 255.255.255.192
  шлюз 99.23.95.1
  # маршрут 99.23.95.3/26 через 99.23.95.1
  up route add -net 99.23.95.3 сетевая маска 255.255.255.192 gw 99.23.95.1 dev enp8s0

авто enp1s0
iface enp1s0 инет статический
        адрес 10.22.0.2/24
# шлюз 10.22.0.1
        точка точка 10.22.0.1
        вверх sysctl -w net.ipv4.ip_forward=1
        up route add -net 10.22.0.0/24 gw 10.22.0.1 dev enp1s0

ОБНОВЛЕНИЕ 2

Моя сеть выглядит следующим образом:

  • Коммутатор 10GB с 2 VLAN для внутренней сети и DMZ
  • Внешний сервер брандмауэра с pfSense
  • Внутренний сервер брандмауэра с OPNsense
  • 2 сервера в DMZ, каждый из которых имеет 2 сетевых адаптера: один с общедоступным IP-адресом, напрямую подключенный к провайдеру, один частный сетевой адаптер, подключенный через коммутатор к той же VLAN, что и внешний брандмауэр.
  • Аналогичная настройка для внутренней сети: выделенный VLAN, две NICS. Единственный способ попасть во внутреннюю сеть — через VON, переадресованную с внешнего брандмауэра на внутренний брандмауэр с включенным VPN-сервером.

Таким образом, чего я хочу добиться, так это перенаправить весь входящий трафик с двух серверов в DMZ на внешний брандмауэр до того, как его получит какая-либо служба на сервере.Например, как мне настроить пересылку входящего трафика на внутреннюю сетевую карту, затем на брандмауэр, где он фильтруется, и обратно?

ОБНОВЛЕНИЕ 3

Обзор инфраструктуры:

Обзор инфраструктуры

101
0 + 0
djdomi avatar
флаг za
djdomi
pfsense должен быть установлен как шлюз, но помните, что здесь вопрос, является ли это общедоступным хостером, который запрещает такую ​​​​настройку, или вы используете свою собственную сталь?
0
Ответить
флаг cn
benjist
Это должно быть возможно. Я обновлю вопрос с текущей голой конфигурацией.
0
Ответить
djdomi avatar
флаг za
djdomi
вы все еще прячете свою сеть. почему вы не объясняете свою ситуацию с сетью?
0
Ответить
vidarlo avatar
флаг ar
vidarlo
Можете ли вы предоставить чертеж желаемого потока трафика и физических подключений?
0
Ответить
флаг cn
benjist
@vidarlo Я добавил обзор инфраструктуры. Как видите, серверы e1 и e2 в DMZ имеют общедоступный IP-адрес, и для использования IP-адресов они должны использовать шлюз компании корневого сервера. Я хочу, чтобы трафик, поступающий от общедоступного WAN NIC, перенаправлялся на сервер брандмауэра (e0). e0 имеет три сетевых адаптера: один общедоступный WAN, один для DMZ VLAN и один перекрестный для внутреннего брандмауэра.
0
Ответить
vidarlo avatar
флаг ar
vidarlo
Я не совсем понимаю вашу проблему. Есть ли у серверов в DMZ *дополнительный* интерфейс к общедоступному Интернету? Или у вас есть публичная подсеть, маршрутизируемая к вам? Если у вас есть дополнительные интерфейсы на серверах, выходящих в Интернет, решение, вероятно, состоит в том, чтобы *переместить* эти интерфейсы на вашу коробку pfsense и оттуда NAT/перенаправить трафик.
0
Ответить
флаг cn
benjist
Каждый сервер в DMZ имеет выделенный интерфейс WAN и общедоступный IP-адрес. Выделенные корневые серверы управляются через этот интерфейс WAN, т.е. их можно сбросить, спасти или управлять ими с консоли управления службы хостинга. Это нельзя изменить, поэтому моя идея перенаправить трафик с интерфейса WAN на внутренний, а оттуда на брандмауэр и обратно.
0
Ответить
Peter Zhabin avatar
флаг cn
Peter Zhabin
Во-первых, если у вас есть брандмауэр, правильным методом доступа к чему-либо за ним будет общедоступный интерфейс брандмауэра (то есть общедоступный IP-адрес). Любой хост с общедоступным сетевым интерфейсом за брандмауэром создает лазейку, которую можно использовать. Я думаю, вы предполагаете, что перенаправление трафика с этих интерфейсов на брандмауэр через внутреннюю сеть может решить эту проблему; однако он просто получает несанкционированный трафик во внутренней сети. т.е. ваша текущая настройка с включенной маршрутизацией позволяет любому человеку в той же общедоступной подсети перенаправлять трафик в вашу внутреннюю сеть через маршрутизацию.
1
Ответить
флаг cn
benjist
@PeterZhabin Большое спасибо за этот комментарий. Это привело меня к, вероятно, правильному направлению: я запросил дополнительный IP-адрес для внешнего брандмауэра и перенаправлю его оттуда на сервер в DMZ.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.