DMZ Setup mit nur einem NIC

Bob22

New Member
Sep 11, 2019
16
0
1
29
Ich versuche ich Moment eine DMZ aufzusetzen, allerdings bin ich mir nicht sicher, wie ich die Bridges korrekt konfigurieren muss.
Ich habe nur einen NIC zur Verfügung, deswegen nutze ich VLANs, um den WAN-Traffic an eine pfSense VM (192.168.1.1) weiterzuleiten und über diese meine LAN container, etc. zu verbinden.

Dies ist meine momentane Konfiguration:

Code:
source /etc/network/interfaces.d/*


auto lo
iface lo inet loopback


auto enp3s0
iface enp3s0 inet manual


auto vmbr0
iface vmbr0 inet static
        address  192.168.1.2
        netmask  24
        gateway  192.168.1.1
        bridge-ports enp3s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        dns-nameservers 209.222.18.222 209.222.18.218 8.8.8.8

Nun möchte ich wie gesagt eine DMZ einrichten, auf welcher nachher eine NGINX reverse proxy VM laufen soll (das scheint nicht das sicherste Setup zu sein, aber immerhin besser als wenn auch der reverse proxy im LAN ist, wie ich denke?). Zu diesem Zweck benötige ich eine weitere Bridge zwischen pfSense und besagter NGINX VM.

Mein Plan, dies umzusetzen, sieht wie folgt aus:

-> In Proxmox eine weitere Linux bridge vmbr1 hinzufügen, ohne weitere Einstellungen:
Code:
auto vmbr1
iface vmbr1 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
#DMZ Network
-> Diese Bridge als VirtIO(Paravirtualized) zu pfSense hinzufügen und dort damit ein neues Interface konfigurieren.
-> Diese Bridge wiederum als VirtIO(Paravirtualized) zur NGINX Konfiguration hinzufügen.

Würde diese Konfiguration so funktionieren? Im Endeffekt wäre dann mein Ziel, vom WAN HTTP/S an die NGINX VM im DMZ weiterzuleiten, und in diesem DMZ nur einigen ausgewählten Ports Zugriff auf LAN zu gewähren (und den Zugriff direkt auf die Firewall vom DMZ aus zu verbieten) . Der Traffic nach außen soll sowohl für LAN als auch DMZ gewährleistet sein. Braucht es dazu in Proxmox dann noch weitere/andere Einstellungen?
 
Last edited:

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!