我想要设置 WAN、DMZ 和私有 LAN。
我想执行“拒绝所有”,只打开 DMZ 所需的 4-5 个端口,并拒绝私有 LAN 上的所有端口
DMZ 上有一个 Web 服务器,所有服务器都有公共 IP。
这个盒子里有 3 个 NIC。
em1 = WAN,这是我的 ISP 提供的静态 IP;em3 = LAN,pfSense 提供的是 192.168.xx 地址。
因此我的连接为 INTERNET -> pfSense Box -> 公共交换机 -> 公共服务器使用公共 IP 插入此处。然后我还需要 pfSense Box -> 私有交换机 -> 私有设备,如无线、笔记本电脑等。
我不知道如何创建 DMZ(如果需要单独创建的话)?
如何编辑规则集?
有人有好的游戏教程吗?
更新 1:好的,我发现人们通常通过定义 OPT 接口来创建 DMZ。
答案1
设置此设置的最佳方法是默认拒绝所有三个区域之间的所有通信,并仅根据需要允许端口。您应该为 INTERNET <-> DMZ 通信、INTERNET <-> PRIVATE 通信和 DMZ <-> PRIVATE 通信创建规则集。所有规则集都应默认拒绝所有通信。然后,根据需要打开特定端口。
另一个最佳实践是只打开特定 IP 的端口。如果您打算仅通过 SSH 从具有 PRIV_IP_Y 的特定计算机修改具有 DMZ_IP_X 的特定 Web 服务器,则应仅打开从 PRIV_IP_Y 到 DMZ_IP_X 的端口 22,而不是打开从 PRIVATE 到 DMZ 的端口 22 上的所有流量。
本质上,您需要将 DMZ 视为另一个私有区域。唯一真正的区别是,您应该关闭 DMZ 中的 DHCP,并制定单独的路由规则,以允许这些机器直接与互联网通信。至于防火墙规则,您仍然希望默认拒绝所有规则,只在需要时打开特定端口。