允許 pfSense 從 WAN 路由到 LAN

我有一個 pfSense 實例，在 LAN 和 WAN 之間設置了兩個網路介面：

192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN)

為簡單起見，我已允許過濾規則中的所有流量。

這工作正常，區域網路上的一台機器使用 pfSense（10.0.1.100）作為網關可以連接到 WAN 上的主機：

<10.0.1.5> $ ping 192.168.1.10
64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms

但是，WAN 上以 pfSense（現為 192.168.1.100）為網關的機器無法連接到 LAN 上的主機：

<192.168.1.10> $ ping 10.0.1.5
*timeout*

防火牆規則允許雙向的所有流量。

tcpdump 顯示數據包正確到達 WAN 介面，但從未在 LAN 介面上發送。

pfSense是否有禁止從WAN路由到LAN的功能？必須做什麼才能讓 WAN 中的機器路由到 LAN。

我知道安全隱患。這是一個簡化的例子。

NAT是你的問題。除非您使用一對一的 NAT，否則您只需要從一側發起流量。即使使用一對一的 NAT，您也需要使用轉換後的地址從外部 ping。

我意識到這已經有幾年了，但是有一個解決方案。

NAT 是問題，但在 PFSense 出站 NAT 中，您可以將模式更改為混合，然後輸入靜態規則，如下所示：WAN 介面，源 10.0.1.0/24 目標 192.168.1.0/24，並檢查不做 NAT 選項. 這將防止從本地網路到此特定外部網路的流量發生 NAT。您還需要防火牆規則中的一條規則，允許 WAN 網路訪問 LAN 網路。

引用自：https://serverfault.com/questions/792634