我已经使用防火墙/路由器发行版 Pfsense 一段时间了,我一直在尝试弄清楚如何使用拒绝/拒绝 LAN 规则将 LAN 上的服务器与 LAN 上的其他计算机“隔离”。我尝试在防火墙->规则->LAN 下添加一条规则,拒绝设备(例如我的手机 192.168.1.102)向我的 Web 服务器 192.168.1.105 发送任何 TCP 数据包。出于某种原因,数据包设法通过了。奇怪的是,如果我将路由器本身指定为目的地,并阻止手机/计算机与其通信,它就会起作用。我已经使用无线笔记本电脑和无线电话测试了这一点,它们都在同一子网上。
我的拓扑结构如下:
(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
|
(Wireless laptop/phone)
| == wifi
-> == wire
无线路由器/交换机是否可能只是将数据包从我的手机中继到服务器并完全绕过防火墙(这解释了为什么我的规则不起作用)?如果是这样,我该如何设置它,以便所有 LAN 流量都必须通过我的防火墙才能与网络上的任何其他计算机通信?
此处提供的 Web 界面图像由于 3 个代表不允许我发布图像 :(图像
答案1
如果两台主机位于同一子网,则流量没有理由通过路由器。你的规则从未被应用。这两个设备连接到交换机(或其他第 2 层网络硬件)。主机 A 说“我希望此流量转到主机 B 的 IP”,然后您的交换机说“好的,完成。”
更新:如果可以使用 VLAN,请将每台主机放在单独的 VLAN 中。这样,您可以在它们之间强制执行路由规则并实现所需的逻辑分离。
答案2
也许将有线设备(我假设服务器位于此处)插入 pfsense 设备将允许您创建第 3 层分段。或者,如果您正在运行一些高端 Cisco 设备,您可以设置私有 VLAN。