Вопрос или проблема
У меня есть гипервизор VMware vSphere с несколькими виртуальными машинами Hadoop. Поскольку наша поддержка активировала безопасность портов на нашем маршрутизаторе, только два MAC-адреса могут быть подключены к одному порту маршрутизатора. Поэтому я добавил еще одну виртуальную машину с pfsense, поместил виртуальные машины Hadoop в свою подсеть, а виртуальную машину pfsense – “посередине”:
Мое предпочтительное решение заключается в том, чтобы pfsense работал в прозрачном режиме, заменяя все MAC-адреса на свои собственные для пакетов, которые идут “наружу”. Поскольку я не знаю, возможно ли это, я в настоящее время пытаюсь настроить исходящий NAT, чтобы хотя бы эти виртуальные машины могли общаться с внешним миром.
На данный момент у меня есть:
- связь между виртуальными машинами Hadoop (и интерфейсом LAN pfsense)
- связь между интерфейсом WAN pfsense и “наружу”, включая DNS
Что не работает:
- У меня нет связи между виртуальными машинами Hadoop и внешним миром (в обоих направлениях)
Детали конфигурации:
Мой WAN – 172.1.40.1/24. Поскольку мой первоначальный план состоит в том, чтобы каким-то образом сделать работу между LAN и WAN прозрачной, я настроил pfsense так, что для него LAN – это 172.16.40.128/25, а WAN – 172.16.40.1/25.
Вот мои правила брандмауэра и правила NAT:
Правила брандмауэра WAN
ID Протокол Источник Порт Назначение Порт Шлюз Очередь Расписание Описание
IPv4 TCP * * WAN адрес 80 (HTTP) * none Доступ к конфигуратору WAN
IPv4 * 172.16.40.0/24 * * * * none Проброс WAN/LAN
IPv4 * * * * * * none anypass
Правила брандмауэра LAN
ID Протокол Источник Порт Назначение Порт Шлюз Очередь Расписание Описание
* * * LAN адрес 80 * * Правило против блокировки
IPv4 * LAN сеть * * * * none Правило по умолчанию, разрешающее LAN на любой адрес
IPv6 * LAN сеть * * * * none Правило по умолчанию, разрешающее LAN IPv6 на любой адрес
IPv4 * * * * * * none anypass
Правила исходящего NAT
Интерфейс Исходный адрес Исходный порт Назначение Порт назначения NAT Адрес NAT Порт Статический порт Описание
WAN 172.16.40.128/25 * * 500 WAN адрес * ДА Авто созданное правило для ISAKMP - LAN в WAN
WAN 172.16.40.128/25 * * * WAN адрес * НЕТ Авто созданное правило для LAN в WAN
WAN 127.0.0.0/8 * * * WAN адрес 1024:65535 НЕТ Авто созданное правило для локальных адресов в WAN
WAN любой * * * WAN адрес * НЕТ NAT для всего
-
Удалите “WAN любой * * * WAN адрес * НЕТ NAT для всего” из правил исходящего NAT
-
Проверьте логи брандмауэра в разделе Статус / Системные журналы / Вкладка Брандмауэр и напишите здесь, какие логи у вас есть.
Ответ или решение
Ваш вопрос касается настройки NAT и маршрутизации на pfSense, и вы столкнулись с проблемами подключения ваших виртуальных машин Hadoop к внешней сети. Давайте разберем ваши настройки и предложим решения.
Проблема
Вы не можете достигнуть внешней сети из ваших Hadoop ВМ, но у вас настроено правильное соединение между вашим интерфейсом LAN и WAN на pfSense. Вероятно, ваша проблема связана с настройками NAT и брандмауэра.
Решение
-
Настройки NAT:
- Удалите правило NAT:
WAN any * * * WAN address * NO NAT everythingЭто правило потенциально может приводить к конфликтам или неправильной обработке NAT-трафика.
- Удалите правило NAT:
-
Проверьте правила брандмауэра:
- Ваши правила для WAN и LAN интерфейсов должны быть правильно настроены для разрешения трафика. Убедитесь, что вы разрешили трафик из LAN в WAN:
- Для интерфейса LAN:
ID Proto Source Port Destination Port Action -
- LAN net * Pass
- LAN net * Pass
- Для интерфейса WAN убедитесь, что правила допускают ответный трафик. Вам может понадобиться добавить правило, позволяющее ответы на установленные соединения:
ID Proto Source Port Destination Port Action -
-
-
- WAN address * Pass
- WAN address * Pass
-
-
- Для интерфейса LAN:
- Ваши правила для WAN и LAN интерфейсов должны быть правильно настроены для разрешения трафика. Убедитесь, что вы разрешили трафик из LAN в WAN:
-
Проверка журналов:
- Перейдите в Status → System Logs → Tab Firewall и посмотрите, есть ли там записи о заблокированном трафике. Это может помочь указать на проблемы с правилами, которые вы установили.
-
Проверка маршрутизации:
- Убедитесь, что маршрутизация настроена правильно. Убедитесь, что ваши Hadoop ВМ имеют в качестве шлюза IP адрес интерфейса LAN pfSense (172.16.40.128).
-
Тестирование с помощью ping и traceroute:
- Попробуйте выполнить
pingдо внешнего адреса (например, 8.8.8.8) из Hadoop ВМ и проверьте, проходит ли трафик через pfSense. - Используйте
traceroute, чтобы определить, где именно теряется трафик.
- Попробуйте выполнить
-
Обновление конфигурации DHCP:
- Если ваши Hadoop ВМ получают настройки через DHCP, убедитесь, что они получают правильный шлюз и DNS серверы от pfSense.
Дополнительные рекомендации
- Если ваша цель — сделать pfSense прозрачным, рассмотрите использование режима "Transparent Bridge" вместо маршрутизации через NAT. Это может потребовать дополнительной настройки, но позволит pfSense работать более изящно в вашей локальной сети.
- Также ознакомьтесь с документацией pfSense по настройке NAT и брандмауэра, чтобы углубиться в детали конфигурации.
Следуя этим рекомендациям, вы сможете устранить проблемы с подключением и настроить pfSense должным образом для работы с вашими Hadoop ВМ. Если у вас будут дополнительные вопросы или проблемы, не стесняйтесь обратиться за помощью.