Tham gia Đăng nhập
Điểm:0
avatar Server

Định tuyến lại tất cả lưu lượng truy cập internet thông qua tường lửa

lá cờ cn
benjist

Tôi đang thiết lập thiết lập tường lửa kép với DMZ và mạng nội bộ. Các máy chủ là máy chủ gốc chuyên dụng chạy Debain Bullseye, tất cả đều nhất thiết phải có NIC với IP công khai.Ngoài ra, các máy chủ trong DMZ có NIC thứ hai sẽ chuyển sang bộ chuyển mạch.

Một máy chủ gốc chuyên dụng khác được thiết lập dưới dạng tường lửa (pfSense), được gắn vào cùng một công tắc. Bây giờ tôi muốn định tuyến tất cả lưu lượng đến từ mỗi máy chủ gốc chuyên dụng thông qua tường lửa này bằng cách định tuyến tất cả lưu lượng từ các NIC công cộng qua NIC thứ hai, sau đó qua tường lửa và ngược lại.

Tôi đang vật lộn với cấu hình giao diện mạng Debian. Bạn có thể cung cấp cho tôi cấu hình ví dụ về cách thực hiện việc định tuyến lại như vậy không?

CẬP NHẬT

Đây là cấu hình trần của tôi tại thời điểm này (tất nhiên IP là giả). Tôi nên thay đổi cấu hình như thế nào để sử dụng máy chủ pfSense làm cổng như được đề xuất?

tự động lo
vòng lặp iface lo inet
vòng lặp iface lo inet6

tự động enp8s0
iface enp8s0 inet tĩnh
  địa chỉ 99.23.95.122
  mặt nạ mạng 255.255.255.192
  cổng 99.23.95.1
  # tuyến 99.23.95.3/26 qua 99.23.95.1
  lên tuyến add -net 99.23.95.3 netmask 255.255.255.192 gw 99.23.95.1 dev enp8s0

tự động enp1s0
iface enp1s0 inet tĩnh
        địa chỉ 10.22.0.2/24
# cổng 10.22.0.1
        điểm 10.22.0.1
        lên sysctl -w net.ipv4.ip_forward=1
        lên tuyến thêm -net 10.22.0.0/24 gw 10.22.0.1 dev enp1s0

CẬP NHẬT 2

Mạng của tôi như sau:

  • 10GB Switch với 2 VLAN cho mạng nội bộ và DMZ
  • Máy chủ tường lửa bên ngoài chạy pfSense
  • Máy chủ tường lửa nội bộ chạy OPNsense
  • 2 máy chủ trong DMZ, mỗi máy có 2 NIC: 1 có IP public kết nối trực tiếp với nhà cung cấp, 1 NIC riêng kết nối qua Switch to same VLAN như tường lửa bên ngoài
  • Thiết lập tương tự cho mạng nội bộ: VLAN chuyên dụng, hai NICS. Cách duy nhất để truy cập vào mạng nội bộ là thông qua VON được chuyển tiếp từ tường lửa bên ngoài sang Tường lửa bên trong có máy chủ VPN trên đó.

Vì vậy, những gì tôi muốn đạt được là chuyển tiếp tất cả lưu lượng truy cập đến từ hai máy chủ trong DMZ tới tường lửa bên ngoài, trước khi bất kỳ dịch vụ nào trên máy chủ nhận được.Ví dụ: làm cách nào tôi có thể định cấu hình lưu lượng đến để được chuyển tiếp đến NIC nội bộ, sau đó đến tường lửa nơi nó được lọc và quay lại?

CẬP NHẬT 3

Toàn cảnh cơ sở hạ tầng:

Tổng quan về cơ sở hạ tầng

101
0 + 0
djdomi avatar
lá cờ za
djdomi
pfsense phải được đặt làm cổng, nhưng hãy nhớ rằng câu hỏi đặt ra ở đây nếu đây là một nhà cung cấp dịch vụ lưu trữ công khai từ chối thiết lập như vậy hay bạn đang chạy thép của riêng mình?
0
Hồi đáp
lá cờ cn
benjist
Điều này nên có thể. Tôi sẽ cập nhật câu hỏi với cấu hình trống hiện tại.
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
bạn vẫn ẩn mạng của bạn. tại sao bạn không giải thích tình hình mạng của bạn?
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Bạn có thể cung cấp bản vẽ về luồng giao thông mong muốn và các kết nối vật lý không?
0
Hồi đáp
lá cờ cn
benjist
@vidarlo Tôi đã thêm tổng quan về cơ sở hạ tầng. Như bạn có thể thấy, máy chủ e1 và e2 trong DMZ có IP công cộng và để sử dụng IP, chúng phải sử dụng cổng của công ty máy chủ gốc. Điều tôi muốn là lưu lượng truy cập đến từ mạng WAN NIC công cộng sẽ được chuyển tiếp đến máy chủ tường lửa (e0). e0 có ba NIC: một mạng WAN công cộng, một đến DMZ VLAN và một chéo đến tường lửa nội bộ.
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Tôi không hoàn toàn mò mẫm vấn đề của bạn. Các máy chủ trong DMZ có giao diện *bổ sung* đối với Internet công cộng không? Hay bạn có một mạng con công cộng được định tuyến tới bạn? Nếu bạn có các giao diện bổ sung trên các máy chủ truy cập internet, thì giải pháp có thể là *di chuyển* các giao diện đó sang hộp pfsense của bạn và NAT/chuyển tiếp lưu lượng truy cập từ đó.
0
Hồi đáp
lá cờ cn
benjist
Các máy chủ trong DMZ đều có một giao diện WAN chuyên dụng và IP công cộng trên đó. Các máy chủ gốc chuyên dụng được quản lý qua giao diện WAN này, ví dụ: chúng có thể được đặt lại hoặc giải cứu hoặc quản lý từ bảng điều khiển quản lý của dịch vụ lưu trữ. Điều này không thể thay đổi, do đó, ý tưởng của tôi là chuyển tiếp lưu lượng truy cập từ giao diện WAN sang nội bộ và từ đó đến tường lửa và ngược lại.
0
Hồi đáp
Peter Zhabin avatar
lá cờ cn
Peter Zhabin
Trước hết, nếu bạn có tường lửa, phương pháp thích hợp để truy cập bất cứ thứ gì phía sau nó sẽ thông qua giao diện tường lửa công cộng (đó là IP công cộng). Bất kỳ máy chủ nào có giao diện mạng công cộng phía sau tường lửa đều tạo ra một cửa hậu có thể bị khai thác. Tôi nghĩ bạn cho rằng việc chuyển tiếp lưu lượng từ các giao diện này tới tường lửa qua mạng nội bộ có thể giải quyết vấn đề này; tuy nhiên, nó chỉ nhận được lưu lượng truy cập trái phép trên mạng nội bộ. I E. thiết lập hiện tại của bạn với tính năng định tuyến được bật cho phép mọi người trên cùng một mạng con công cộng chuyển tiếp lưu lượng truy cập tới mạng nội bộ của bạn thông qua định tuyến..
1
Hồi đáp
lá cờ cn
benjist
@PeterZhabin Cảm ơn bạn rất nhiều vì nhận xét này. Điều này đã hướng dẫn tôi đi đúng hướng: Tôi đã yêu cầu một IP bổ sung cho tường lửa bên ngoài và sẽ chuyển tiếp nó từ đó đến máy chủ trong DMZ.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.