是否可以配置 pfSense,使其充当两个以太网接口之间的桥梁,并具有强制门户功能?我想使用强制门户包,但不需要任何其他路由、DHCP、防火墙或其他任何东西。我们的网络上有其他设备来处理其他功能。
以下是我想要实现的布局的简化版本:
基本上,em0
pfSense 盒子的接口将连接到我们的路由器,然后从那里连接到互联网。该em1
接口将连接到我们的内部网络,我们的服务器(包括 DHCP 服务器、客户端和其他所有东西)都位于该网络。我会给它一个要忽略的 MAC 地址列表(对于我们的服务器)。
我读过许多 pfSense 论坛帖子,它们都表明这是不可能的,但也有几篇帖子表明这是可能的。我的桥接器可以正常工作,并且尝试在桥接接口上安装强制门户,但它什么也没做。我在高级选项中启用了桥接过滤,但似乎没有任何效果。
如果可能的话,我怎样才能让它发挥作用?
答案1
根据 openbsd 文档(无论如何,在某个时候,pfsense 是基于 openbsd 的,我记得 - pf 数据包过滤器来自 Openbsd 项目)桥接接口不能有 IP,因此它不能是强制门户:
http://www.openbsd.org/faq/faq6.html#Bridge
也就是说,也许你可以尝试添加第三个接口做有一个 IP,看看是否可以使用 PF 规则将穿过桥接器的流量重定向到 someipaddr:80 到 captive.portal.host:80,后者正在监听 pfSense 系统的第三条腿。
答案2
桥接接口可以有 IP。但是,在尝试完成您想要完成的任务时会遇到许多复杂情况,例如从 DHCP 获取 IP(除非它在防火墙本身上运行)、访问 DNS(除非它在防火墙上运行)以及其他潜在的复杂情况。我不建议像这样运行强制门户,请在门户后面使用路由或 NAT 子网。