Comment les réseaux virtuels hébergés par sous-réseau

J'ai un réseau de machines virtuelles ayant chacune une adresse IP LAN et une adresse IP publique. Ils ont chacun une carte NAT 1: 1 pour un access public via l'IP publique pour HTTP, SSH, etc. J'essaie de find un moyen de restreindre les IP LAN de communiquer les uns aux autres, mais certains cas où un un groupe d'IP LAN devra communiquer.

J'utilise pfSense comme un pare-feu / routeur sur une configuration 192.168.0.0/24 .
Il semble que je pourrais atsortingbuer à chaque machine virtuelle son propre sous-réseau et append une route statique au pare-feu de cette machine virtuelle pour returnner au pare-feu pour l'access à Internet et d'autres règles de pare-feu. Est-ce correct?

J'ai assigné 1 VM avec:

 address 192.168.1.2 netmask 255.255.255.254 gateway 192.168.1.1 

Ensuite, a ajouté une route statique sur l'interface LAN du FW en utilisant 192.168.1.0/30 comme réseau de destination et 192.168.1.1 comme passerelle.

Rien ne semble fonctionner, donc quelqu'un a des idées? Je ne suis pas familier avec les sous-réseaux.

Merci!

Quel OS utilisez-vous sur les machines virtuelles? Il pourrait être plus facile d'utiliser des pare-feu internes sur les machines. De cette façon, vous pouvez choisir ce qui répond à chaque VM.

Masque = 255.255.255.254 ???? Regarde ça

 Network Net Broadcast CIDR Mask UsableHosts 192.168.1.0 192.168.1.3 30 255.255.255.252 2 192.168.1.4 192.168.1.7 30 255.255.255.252 2 192.168.1.8 192.168.1.11 30 255.255.255.252 2 192.168.1.12 192.168.1.15 30 255.255.255.252 2 

La sortie si à partir de mon planificateur de sous – réseau

Je ne comprends pas pourquoi vous faites cette étape:

"Ensuite, a ajouté une route statique sur l'interface LAN du FW en utilisant 192.168.1.0/30 comme réseau de destination et 192.168.1.1 comme passerelle."

Créez un VLAN par machine virtuelle ou client. Affectez un réseau approprié, / 30 ou plus grand. La première adresse est le réseau, la seconde serait l'IP des pare-feu sur ce sous-réseau – et l'autre ou le rest jusqu'à ce que la diffusion soit utilisée par les machines virtuelles.

C'est tout ce dont vous avez besoin est d'append des règles soit pour les interfaces VLAN, soit si vous préférez pour les IP dans les VLAN.

La plupart des règles de pare-feu utilisent des masques qui fonctionnent de la même manière que les masques de sous-réseau, mais peuvent être utilisés pour cibler de multiples sous-réseaux ou des blocs d'adresses IP dans un sous-réseau.

Laissez donc vos passerelles, mais regroupez vos adresses IP VM dans votre sous-réseau afin que vous puissiez écrire des masques qui spécifient ces machines virtuelles. Vous pouvez cibler une seule adresse IP avec le masque 255.255.255.255. Vous pouvez utiliser une Calculasortingce CIDR pour vous aider à comprendre cela, ou jeter un oeil au diagramme d'allocation IP dans l'excellent livre de Warrior Warrior de Gary A. Donohue .