ESXi + pfsense разделение трафика

1047
Chiggins

Я новичок в настройке сети с ESXi и работе с pfsense, поэтому, пожалуйста, извините, если это невозможно, или я спрашиваю что-то неправильно.

Я использую ESXi 5.5.0 и хочу разместить в своей сети несколько honeypot, которые доступны для интернета, но сами honeypots не могут получить доступ ни к чему, кроме своей подсети. В идеале я бы перенаправлял определенные порты, такие как 21, 22, 80, 443, на разные приманочные машины.

Теперь я также принимаю это у себя дома, поэтому я хотел бы отделить свою сеть honeypot от моей домашней сети. Моя домашняя сеть не должна ничего касаться в сети honeypot, и наоборот.

Моя текущая настройка такова: Интернет -> модем -> потребительский маршрутизатор / коммутатор. На этом коммутаторе находятся мои беспроводные устройства и другие домашние устройства. Также к нему прикреплен мой сервер ESXi. Мой сервер ESXi также имеет следующие настройки сети:

ESXi network

И у моей коробки pfsense есть следующие интерфейсы:

pfsense interfaces

На данный момент в основном все работает, кроме двух вопросов:

  1. Ящики в моей сети honeypot (10.0.0.x) могут общаться с ящиками в моей домашней сети (192.168.1.x)
  2. Сервер DHCP, работающий на моем интерфейсе локальной сети pfsense (em1), передает IP-адреса, которые должен выдавать мой потребительский маршрутизатор. Поэтому, когда мой телефон подключается к моему Wi-Fi, он получает адрес от pfsense, когда это не должно быть.

Итак, мой вопрос: как я могу сделать это должным образом разделенным, чтобы две сети не могли общаться друг с другом и чтобы DHCP не передавал адреса за пределы своей сети?

Спасибо! Я очень ценю помощь!

0

3 ответа на вопрос

1
DKNUCKLES
  1. Настройте правило IPTables для отбрасывания трафика вперед с 10.0.0.0/24 до 192.168.1.0/24.

  2. Выключите DHCP на вашем pfsense box, если он вам не нужен, и статически установите IP-адреса в вашей сети honeypot. Вы не хотите, чтобы блоки обновляли аренду DHCP, если у вас есть правила брандмауэра / NAT, указывающие на конкретные IP-адреса.

  3. Убедитесь, что вы отключили возможность администрирования вашего маршрутизатора / брандмауэра (в данном случае pfsense?) Из вашего honeypot. Если одна из ваших коробок укоренена, вы не хотите, чтобы они могли вырваться на свободу.

  4. Убедитесь, что знаете, что делаете, прежде чем открывать шлюзы из Интернета для своих приманок - неправильная конфигурация может иметь катастрофические последствия.

1. Должен ли я добавить правило iptables непосредственно в pfsense из командной строки или есть лучший способ сделать это через веб-интерфейс? 2. Да, я думал об этом, наверное, хорошая идея, чтобы все было статичным. 3. Да, конечно. Работая над попыткой сделать его доступным из глобальной сети, затем отключив его из локальной сети. 4. Определенно. Я собираюсь дать другому моему хакерскому другу удаленный доступ, чтобы получить еще один взгляд на него, чтобы посмотреть, сможет ли он найти способ взломать. Спасибо за этот ответ! Chiggins 9 лет назад 0
@Chiggins не имеет значения, где вы устанавливаете правило (web или cmd line), просто убедитесь, что они сохранены, и это должно быть сделано. DKNUCKLES 9 лет назад 0
1
Matthew Dartez

«Будьте добры и убедитесь, что вы знаете, что делаете, прежде чем открывать шлюзы из Интернета для своих приманок - неправильная конфигурация может иметь катастрофические последствия».

Обратите на это внимание очень внимательно - это отличный совет.

Я также хотел бы предложить, если вы можете сделать это, возможно, установить или развернуть какое-то промежуточное звено для сканирования этого трафика, например dev / free, версию ArcSight или любую McAfee DLP. Вы собираетесь разоблачить себя.

Я думал о создании экземпляра Snort для мониторинга трафика, просто чтобы у меня было лучшее представление о том, что происходит. Chiggins 9 лет назад 0
Наверное, хорошая идея. Что еще может быть хорошей идеей, так как вы используете ESXi 5.5, так это задействовать VXLAN через NSX и использовать VDS Security - или контролировать через PowerCLI Matthew Dartez 9 лет назад 0
Я буду честен, не уверен, что такое VXLAN / VDS. Есть ли ресурс, который вы могли бы предложить? Chiggins 9 лет назад 0
Если у вас есть учетная запись VMware, зарегистрируйтесь: https://www.vmware.com/products/nsx Matthew Dartez 9 лет назад 0
1

Прежде чем смотреть на Iptables или что-нибудь еще.

Где подключены 2 кабеля Ethernet к vmnic0 и vmnic1?

Эти 2 соединения должны существовать на вашем хосте VMware - в отдельных физических сетях Ethernet - физически подключаться к разным системам, т. Е. Одно к коробке pFsense, другое к вашей локальной сети.

Другими словами, убедитесь, что ваш физический уровень 2 отделен, прежде чем пытаться что-то эотичное.

============================ Структура =================== Структура 1) где находится ваше WAN-соединение? Для pFsense требуется 2 vnics, 1 из которых должен физически подключаться к вашей физической WAN (кроме того, он обозначен как WAN в вашей настройке)

так что AFAIK вам нужно 3 изолированных vnics, чтобы делать то, что вы хотите.

1) LAN / Mgmgnt 2) Honeypot сеть 3) вы WAN соединение в PFsense

Вы ни в коем случае не можете подключить какие-либо из 3 локальных сетей, выходящих из вашего хоста VMware, к одному коммутатору концентратора, если только вы не настроите изоляцию между задействованными портами.

в противном случае ваши перекрестные помехи будут на уровне меди (уровень 2).