我在这个社区的第一个问题。抱歉,这个问题比较基础,答案在几篇帖子里,但我需要把它们放在一起。
我购买了 Google 域名,并使用 cloudfare 作为 DNS 提供商。我在 cloudfare 中创建了一条 A 记录,指向我的 ISP 提供商提供的 IP 地址。到目前为止一切顺利。
我现在期待的是:
- 所有互联网 HTTPS 连接都将发送到防火墙 PFSense。PFSense 有 2 个网卡:一个用于 WAN(DHCP 启用),另一个用于 LAN(静态 IP)
- PFSense 将成为默认 DHCP 服务器,不再使用 ISP DHCP 功能
- PFSense 将拒绝所有不是来自 Cloudfare 服务器或不是 HTTPS 请求的连接
- PFSense 将 HTTPS 请求转发到反向代理 Traefik
- Traefik 最终会将请求转发到正确的服务(子域)。
- 此外,我想将 Pihole 设置为 PFSense 中的动态 DNS,以受益于其广告过滤功能。
请注意,所有这些机器都是由 proxmox 管理的虚拟机。所有机器都有固定 IP 地址
但现在我想确保以下步骤正确无误,以构建我想要的内容:
1- 我是否需要在 ISP 路由器中打开 443 端口 (NAT) 并将其转发到 PFSense IP 地址?我的 ISP 路由器具有“DMZ”功能,基本上将所有请求转发到此 DMZ 中列出的设备。所以我想除了 NAT 之外,我还需要将 PFSense 添加到此 DMZ?
2- 如何在 PFSense 中将所有 443 HTTPS 请求重定向到 Traefik 反向代理?应用什么样的规则?我是否需要在 PFSense 服务器上的 WAN 和 LAN 接口上也打开端口 443?此端口在文档或帖子中不清楚。
3-如果我禁用 ISP 路由器中的 DHCP 服务器功能,家庭网络中的设备将如何发现 PFSense DHCP?
抱歉,这些问题太基础了,但如果你不是网络专家,将所有信息汇总在一起确实很困难。谢谢
答案1
1- 我是否需要在 ISP 路由器中打开 443 端口 (NAT) 并将其转发到 PFSense IP 地址?我的 ISP 路由器具有“DMZ”功能,基本上将所有请求转发到此 DMZ 中列出的设备。所以我想除了 NAT 之外,我还需要将 PFSense 添加到此 DMZ?
两者实现相同的目的,只是其中一个比另一个更具体。大多数家用路由器中的“DMZ”是只不过是相同的 NAT,仅适用于所有协议和所有端口(即,它是与任何未通过任何“端口转发”规则进行 NAT 的所有内容匹配的最终 NAT 规则。)
(我稍微更喜欢一种不同的方法 - 如果 ISP 路由器具有可用的“静态路由”配置,则教它到 pfSense 子网的路由,然后将 NAT 内容直接发送到虚拟机。)
2- 如何在 PFSense 中将所有 443 HTTPS 请求重定向到 Traefik 反向代理?应用什么样的规则?我是否需要在 PFSense 服务器上的 WAN 和 LAN 接口上也打开端口 443?此端口在文档或帖子中不清楚。
如果 ISP 路由器将所有内容 NAT 到 pfSense,但 Traefik 在另一个系统(Proxmox VM)上运行,那么您需要执行与让请求首先到达 pfSense 相同的操作:设置 NAT 规则,将数据包重定向到 Traefik 主机。(它位于 pfSense 中的“端口转发”选项卡下。)
您还需要一个允许一般流量的过滤规则,但 pfSense 有一个选项可以在创建 NAT 规则时自动添加它。默认情况下,pfSense 防火墙规则是有状态的因此只有入口接口需要允许流量(如果请求通过“WAN”接口到达,则需要将过滤规则分配给“WAN”),而响应将自动被允许而无需规则。
如果 Traefik 直接在 pfSense 主机上运行,则您不需要 NAT(无论如何它是同一个系统),只需要一个过滤规则。
3-如果我禁用 ISP 路由器中的 DHCP 服务器功能,家庭网络中的设备将如何发现 PFSense DHCP?
它们现在找到 ISP 路由器的 DHCP 功能的方式相同:它们实际上在整个子网上广播“DHCPDISCOVER”UDP 数据包并等待 DHCPOFFER 从某处到达。
但是,如果你的描述是正确的,那么你不需要需要禁用 ISP 路由器上的 DHCP,因为您的所有设备在物理上都位于不同的子网上,因此所有 DHCP 发现数据包只能到达 pfSense 机器(即分隔两个子网的路由器) - 只有 pfSense 本身才能使用 ISP 路由器的 DHCP 作为其“WAN”接口,而连接到其“LAN”端的任何东西都根本不知道 ISP 路由器。