înregistrare Logare
Puncte:0
avatar Server

Redirecționați tot traficul de internet prin firewall

drapel cn
benjist

Am configurat o configurare duală de firewall cu un DMZ și o rețea internă. Serverele sunt servere rădăcină dedicate care rulează Debain Bullseye, toate având în mod necesar un NIC cu un IP public.În plus, serverele din DMZ au o a doua NIC care merge la un comutator.

Un alt server rădăcină dedicat este configurat ca firewall (pfSense), atașat la același switch. Acum vreau să direcționez tot traficul de intrare de la fiecare server rădăcină dedicat prin acest firewall, direcționând tot traficul de la NIC-urile publice prin a doua NIC, apoi prin firewall și înapoi.

Mă lupt cu configurația interfeței de rețea Debian. Ați putea să-mi oferiți un exemplu de configurare cum ar trebui făcută o astfel de redirecționare?

ACTUALIZAȚI

Aceasta este configurația mea simplă în acest moment (IP-urile sunt false, desigur). Cum ar trebui să schimb configurația pentru a utiliza serverul pfSense ca gateway așa cum s-a sugerat?

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto enp8s0
iface enp8s0 inet static
  adresa 99.23.95.122
  mască de rețea 255.255.255.192
  gateway 99.23.95.1
  # ruta 99.23.95.3/26 prin 99.23.95.1
  up route add -net 99.23.95.3 netmask 255.255.255.192 gw 99.23.95.1 dev enp8s0

auto enp1s0
iface enp1s0 inet static
        adresa 10.22.0.2/24
# gateway 10.22.0.1
        pointopoint 10.22.0.1
        up sysctl -w net.ipv4.ip_forward=1
        up route add -net 10.22.0.0/24 gw 10.22.0.1 dev enp1s0

UPDATE 2

Rețeaua mea este următoarea:

  • Switch de 10 GB cu 2 VLAN-uri pentru rețea internă și DMZ
  • Server firewall extern care rulează pfSense
  • Server firewall intern care rulează OPNsense
  • 2 servere în DMZ, fiecare având 2 NIC-uri: unul cu IP public conectat direct la furnizor, un NIC privat conectat prin Switch la același VLAN ca și firewall-ul extern
  • Configurare similară pentru rețeaua internă: VLAN dedicat, două NICS. Singura modalitate de a intra în rețeaua internă este prin VON redirecționat de la firewall extern la Firewall intern cu serverul VPN activat.

Astfel, ceea ce vreau să obțin este să redirecționez tot traficul de intrare de la cele două servere din DMZ către firewall-ul extern, înainte ca orice serviciu de pe server să îl primească.De exemplu, cum pot configura traficul de intrare să fie redirecționat către NIC-ul intern, apoi către firewall-ul unde este filtrat și înapoi?

ACTUALIZARE 3

Prezentare generală a infrastructurii:

Prezentare generală a infrastructurii

101
0 + 0
djdomi avatar
drapel za
djdomi
pfsense trebuie setat ca gateway, dar amintiți-vă că întrebarea este aici dacă acesta este un hoster public care neagă o astfel de configurare sau vă conduceți propriul oțel?
0
Răspunde
drapel cn
benjist
Acest lucru ar trebui să fie posibil. Voi actualiza întrebarea cu o configurație curentă.
0
Răspunde
djdomi avatar
drapel za
djdomi
încă îți ascunzi rețeaua. de ce nu explici situația în rețea?
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Puteți furniza un desen al fluxului de trafic dorit și al conexiunilor fizice?
0
Răspunde
drapel cn
benjist
@vidarlo Am adăugat o prezentare generală a infrastructurii. După cum puteți vedea, serverele e1 și e2 din DMZ au un IP public și pentru a putea folosi IP-urile trebuie să folosească gateway-ul companiei de server rădăcină. Ceea ce vreau este ca traficul care vine de la NIC-ul WAN public să fie redirecționat către serverul firewall (e0). e0 are trei NIC-uri: un WAN public, unul la VLAN-ul DMZ și un crossover la firewall-ul intern.
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Nu inteleg complet problema ta. Serverele din DMZ au o interfață *suplimentară* către Internetul public? Sau aveți o subrețea publică direcționată către dvs.? Dacă aveți interfețe suplimentare pe serverele care se confruntă cu internet, soluția este probabil să *mutați* acele interfețe în caseta dvs. pfsense și traficul NAT/forward de acolo.
0
Răspunde
drapel cn
benjist
Serverele din DMZ au fiecare o interfață WAN dedicată și un IP public. Serverele rădăcină dedicate sunt gestionate prin această interfață WAN, de ex. pot fi resetate sau salvate sau gestionate din consola de management a serviciului de gazduire. Acest lucru nu poate fi schimbat, deci ideea mea de a redirecționa traficul de la interfața WAN la interfață și de acolo la firewall și înapoi.
0
Răspunde
Peter Zhabin avatar
drapel cn
Peter Zhabin
În primul rând, dacă aveți un firewall, metoda adecvată de a accesa orice în spatele acestuia ar fi prin interfața publică de firewall (adică este IP-ul public). Orice gazdă cu o interfață de rețea publică în spatele unui firewall creează o ușă din spate care ar putea fi exploatată. Cred că presupuneți că redirecționarea traficului de la aceste interfețe către firewall prin rețea internă poate rezolva această problemă; cu toate acestea, primește doar trafic neautorizat pe rețeaua internă. i.e. configurația dvs. actuală cu rutarea activată permite oricui din aceeași subrețea publică să redirecționeze traficul către rețeaua internă prin rutare.
1
Răspunde
drapel cn
benjist
@PeterZhabin Vă mulțumesc foarte mult pentru acest comentariu. Acest lucru m-a ghidat în direcția probabil corectă: am solicitat un IP suplimentar pentru firewall-ul extern și îl voi redirecționa de acolo către serverul din DMZ.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.