Networking
允許 pfSense 從 WAN 路由到 LAN
我有一個 pfSense 實例,在 LAN 和 WAN 之間設置了兩個網路介面:
192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN)
為簡單起見,我已允許過濾規則中的所有流量。
這工作正常,區域網路上的一台機器使用 pfSense(10.0.1.100)作為網關可以連接到 WAN 上的主機:
<10.0.1.5> $ ping 192.168.1.10 64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms
但是,WAN 上以 pfSense(現為 192.168.1.100)為網關的機器無法連接到 LAN 上的主機:
<192.168.1.10> $ ping 10.0.1.5 *timeout*
防火牆規則允許雙向的所有流量。
tcpdump 顯示數據包正確到達 WAN 介面,但從未在 LAN 介面上發送。
pfSense是否有禁止從WAN路由到LAN的功能?必須做什麼才能讓 WAN 中的機器路由到 LAN。
我知道安全隱患。這是一個簡化的例子。
NAT是你的問題。除非您使用一對一的 NAT,否則您只需要從一側發起流量。即使使用一對一的 NAT,您也需要使用轉換後的地址從外部 ping。
我意識到這已經有幾年了,但是有一個解決方案。
NAT 是問題,但在 PFSense 出站 NAT 中,您可以將模式更改為混合,然後輸入靜態規則,如下所示:WAN 介面,源 10.0.1.0/24 目標 192.168.1.0/24,並檢查不做 NAT 選項. 這將防止從本地網路到此特定外部網路的流量發生 NAT。您還需要防火牆規則中的一條規則,允許 WAN 網路訪問 LAN 網路。