我们的办公室正在使用多 WAN 路由器作为 dhcp/路由器/防火墙。但现在我想在路由器和交换机之间放置一台带有 pfSense 的 PC,这样我就可以执行更高级的防火墙任务,如流量监控和内容过滤。
阅读之后,我发现 pfSense 可以成为无 IP 透明防火墙,所以我只需将电缆插入两个 NIC 即可。
这个解决方案看起来很简单,我不需要更改我的实际网络设置。但是有什么缺点或理由不用作透明防火墙吗?在透明模式下我仍然可以创建规则吗?
什么时候应该将 pfSense 用作具有路由、IP 等功能的普通防火墙?
答案1
我认为这不是个坏主意,至少尝试一两天,但既然你问了,我就会给你几个不这样做的理由。
- 又一个失败点
- 配置错误可能会导致问题。
- 如果您开始在此处添加防火墙规则,则故障排除会变得更加困难,尤其是对于初级系统管理员而言。流量是否在此处被阻止?还是在我们的普通防火墙处被阻止?
- 您可能仍想添加第 3 个 NIC 用于带外管理;SSH、Syslog 等。
答案2
我会放弃 TP Link。我认为两者兼有会造成不必要的单点故障。如果在足够的硬件上运行,我会选择 pfSense 作为更稳定/可靠的解决方案。我也非常喜欢 pfSense GUI,而不是我从 TP Link 看到的任何产品,尽管这只是我的观点。
我昨天在另一个问题中也提到,许多低端路由器无法提供报价 VPN 吞吐量,而我发现商品 x86/x64 硬件上的 pfSense 可以轻松完成这项任务。
感谢提供有关透明防火墙的链接,但我没有看到任何关于 pfSense 的提及。
如果您确实让它工作了,正如我之前的评论,我怀疑一些包可能无法工作,这会限制其有效性,您需要在所需的配置中测试所需的包,以实际确定您可以使用哪些包。