Score:0

Server

เปลี่ยนเส้นทางการรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดผ่านไฟร์วอลล์

benjist

10/7/23 16:12

ฉันกำลังตั้งค่าไฟร์วอลล์คู่กับ DMZ และเครือข่ายภายใน เซิร์ฟเวอร์เป็นเซิร์ฟเวอร์รูทเฉพาะที่ใช้ Debain Bullseye โดยทั้งหมดจำเป็นต้องมี NIC พร้อม IP สาธารณะนอกจากนี้ เซิร์ฟเวอร์ใน DMZ ยังมี NIC ตัวที่สองที่ไปยังสวิตช์

เซิร์ฟเวอร์รูทเฉพาะอีกตัวถูกตั้งค่าเป็นไฟร์วอลล์ (pfSense) ซึ่งต่ออยู่กับสวิตช์เดียวกัน ตอนนี้ฉันต้องการกำหนดเส้นทางการรับส่งข้อมูลขาเข้าทั้งหมดจากแต่ละเซิร์ฟเวอร์รูทเฉพาะผ่านไฟร์วอลล์นี้ โดยกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดจาก NIC สาธารณะผ่าน NIC ที่สอง จากนั้นผ่านไฟร์วอลล์และย้อนกลับ

ฉันกำลังดิ้นรนกับการกำหนดค่าอินเทอร์เฟซเครือข่าย Debian คุณช่วยยกตัวอย่างการกำหนดค่าวิธีการเปลี่ยนเส้นทางดังกล่าวให้ฉันได้ไหม

อัปเดต

นี่คือการกำหนดค่าเปล่าของฉันในขณะนี้ (แน่นอนว่า IP เป็นของปลอม) ฉันจะเปลี่ยนการกำหนดค่าเพื่อใช้เซิร์ฟเวอร์ pfSense เป็นเกตเวย์ตามที่แนะนำได้อย่างไร

อัตโนมัติ
iface lo inet ย้อนกลับ
iface lo inet6 ย้อนกลับ

อัตโนมัติ enp8s0
iface enp8s0 inet แบบคงที่
  ที่อยู่ 99.23.95.122
  เน็ตมาสก์ 255.255.255.192
  เกตเวย์ 99.23.95.1
  # เส้นทาง 99.23.95.3/26 ผ่าน 99.23.95.1
  เพิ่มเส้นทาง -net 99.23.95.3 netmask 255.255.255.192 gw 99.23.95.1 dev enp8s0

อัตโนมัติ enp1s0
iface enp1s0 inet แบบคงที่
        ที่อยู่ 10.22.0.2/24
# เกตเวย์ 10.22.0.1
        พอยน์พอยต์ 10.22.0.1
        ขึ้น sysctl -w net.ipv4.ip_forward=1
        เพิ่มเส้นทาง -net 10.22.0.0/24 gw 10.22.0.1 dev enp1s0

อัพเดท 2

เครือข่ายของฉันเป็นดังนี้:

10GB สลับกับ 2 VLAN สำหรับเครือข่ายภายในและ DMZ
เซิร์ฟเวอร์ไฟร์วอลล์ภายนอกที่ใช้ pfSense
เซิร์ฟเวอร์ไฟร์วอลล์ภายในที่ใช้งาน OPNsense
เซิร์ฟเวอร์ 2 เครื่องใน DMZ แต่ละเครื่องมี 2 NIC หนึ่งเครื่องมี IP สาธารณะเชื่อมต่อโดยตรงกับผู้ให้บริการ NIC ส่วนตัวหนึ่งเครื่องเชื่อมต่อผ่านสวิตช์ไปยัง VLAN เดียวกันกับไฟร์วอลล์ภายนอก
การตั้งค่าที่คล้ายกันสำหรับเครือข่ายภายใน: VLAN เฉพาะ, NICS สองตัว วิธีเดียวที่จะเข้าสู่เครือข่ายภายในคือผ่าน VON ที่ส่งต่อจากไฟร์วอลล์ภายนอกไปยังไฟร์วอลล์ภายในโดยเปิดเซิร์ฟเวอร์ VPN

ดังนั้น สิ่งที่ฉันต้องการบรรลุคือการส่งต่อทราฟฟิกขาเข้าทั้งหมดจากเซิร์ฟเวอร์สองเครื่องใน DMZ ไปยังไฟร์วอลล์ภายนอก ก่อนที่บริการใด ๆ บนเซิร์ฟเวอร์จะได้รับตัวอย่างเช่น ฉันจะกำหนดค่าทราฟฟิกขาเข้าให้ส่งต่อไปยัง NIC ภายใน จากนั้นไปที่ไฟร์วอลล์ที่กรองแล้วย้อนกลับได้อย่างไร

อัพเดท 3

ภาพรวมโครงสร้างพื้นฐาน:

101

0 + 0

ไฟล์บันทึก

ลินุกซ์เครือข่าย

pfsense

djdomi

10/7/23 17:26

ต้องตั้งค่า pfsense เป็นเกตเวย์ แต่โปรดจำไว้ว่าคำถามอยู่ที่นี่หากนี่คือโฮสต์สาธารณะที่ปฏิเสธการตั้งค่าดังกล่าวหรือคุณใช้เหล็กของคุณเอง

ตอบกลับ

benjist

11/7/23 12:09

สิ่งนี้น่าจะเป็นไปได้ ฉันจะอัปเดตคำถามด้วยการกำหนดค่าเปล่าปัจจุบัน

ตอบกลับ

djdomi

12/7/23 07:43

คุณยังคงซ่อนเครือข่ายของคุณ ทำไมคุณไม่อธิบายสถานการณ์เครือข่ายของคุณ

ตอบกลับ

vidarlo

27/7/23 12:53

คุณสามารถจัดเตรียมภาพวาดการไหลของการจราจรที่ต้องการและการเชื่อมต่อทางกายภาพได้หรือไม่?

ตอบกลับ

benjist

27/7/23 15:36

@vidarlo ฉันได้เพิ่มภาพรวมโครงสร้างพื้นฐาน อย่างที่คุณเห็น เซิร์ฟเวอร์ e1 และ e2 ใน DMZ มี IP สาธารณะ และเพื่อใช้ IP นั้นต้องใช้เกตเวย์ของบริษัทเซิร์ฟเวอร์รูท สิ่งที่ฉันต้องการคือการรับส่งข้อมูลที่มาจาก WAN NIC สาธารณะเพื่อส่งต่อไปยังเซิร์ฟเวอร์ไฟร์วอลล์ (e0) e0 มี NIC สามตัว: WAN สาธารณะหนึ่งตัว, หนึ่งตัวไปยัง DMZ VLAN และหนึ่งตัวที่เชื่อมต่อกับไฟร์วอลล์ภายใน

ตอบกลับ

vidarlo

27/7/23 16:08

ฉันไม่คร่ำครวญถึงปัญหาของคุณเลย เซิร์ฟเวอร์ใน DMZ มีอินเทอร์เฟซ *เพิ่มเติม* สำหรับอินเทอร์เน็ตสาธารณะหรือไม่ หรือคุณมีซับเน็ตสาธารณะกำหนดเส้นทางมาที่คุณ? หากคุณมีอินเทอร์เฟซเพิ่มเติมบนเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต วิธีแก้ไขคือ *ย้าย* อินเทอร์เฟซเหล่านั้นไปยังกล่อง pfsense ของคุณและรับส่งข้อมูล NAT/ส่งต่อจากที่นั่น

ตอบกลับ

benjist

27/7/23 16:48

เซิร์ฟเวอร์ใน DMZ แต่ละเครื่องมีอินเทอร์เฟซ WAN เฉพาะและ IP สาธารณะ เซิร์ฟเวอร์รูทเฉพาะได้รับการจัดการผ่านอินเทอร์เฟซ WAN นี้ เช่น สามารถรีเซ็ตหรือกู้คืนหรือจัดการได้จากคอนโซลการจัดการของบริการโฮสติ้ง สิ่งนี้ไม่สามารถเปลี่ยนแปลงได้ ดังนั้นความคิดของฉันที่จะส่งต่อการรับส่งข้อมูลจากอินเทอร์เฟซ WAN ไปยังภายในและจากที่นั่นไปยังไฟร์วอลล์และย้อนกลับ

ตอบกลับ

Peter Zhabin

27/7/23 23:03

ก่อนอื่น ถ้าคุณมีไฟร์วอลล์ วิธีที่เหมาะสมในการเข้าถึงสิ่งใดก็ตามที่อยู่เบื้องหลังไฟร์วอลล์คือผ่านอินเทอร์เฟซไฟร์วอลล์สาธารณะ (นั่นคือ IP สาธารณะ) โฮสต์ใด ๆ ที่มีอินเทอร์เฟซเครือข่ายสาธารณะหลังไฟร์วอลล์จะสร้างประตูหลังที่สามารถใช้ประโยชน์ได้ ฉันคิดว่าคุณคิดว่าการส่งต่อทราฟฟิกจากอินเทอร์เฟซเหล่านี้ไปยังไฟร์วอลล์ผ่านเน็ตภายในอาจแก้ปัญหานี้ได้ อย่างไรก็ตามมันเพิ่งได้รับทราฟฟิกที่ไม่ได้รับอนุญาตบนเน็ตภายใน เช่น. การตั้งค่าปัจจุบันของคุณที่เปิดใช้งานการกำหนดเส้นทางทำให้ทุกคนในซับเน็ตสาธารณะเดียวกันสามารถส่งต่อทราฟฟิกไปยังเน็ตภายในของคุณผ่านการกำหนดเส้นทาง..

ตอบกลับ

benjist

28/7/23 11:28

@PeterZhabin ขอบคุณมากสำหรับความคิดเห็นนี้ สิ่งนี้ชี้นำฉันไปสู่ทิศทางที่ถูกต้อง: ฉันได้ขอ IP เพิ่มเติมสำหรับไฟร์วอลล์ภายนอกและจะส่งต่อจากที่นั่นไปยังเซิร์ฟเวอร์ใน DMZ

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Re-route all internet traffic through firewall

TH: เปลี่ยนเส้นทางการรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดผ่านไฟร์วอลล์

RO: Redirecționați tot traficul de internet prin firewall

RU: Перенаправить весь интернет-трафик через брандмауэр

VI: Định tuyến lại tất cả lưu lượng truy cập internet thông qua tường lửa

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา