我有一个使用两个 pfSense 路由器的网络设置,排列如下:-
DMZ1 WAN1 WAN2 DMZ2
| | | |
| | | |
\___ PF1 PF2___/
| |
| |
\___TRUSTED___/
每个 pfSense 路由器都有自己独立的 WAN 连接,以及与之相连的独立 DMZ 网络。它们之间共享一个共同的 TRUSTED LAN。
受信任网络上的机器将 PF1 作为其默认网关。PF1 具有通过 PF2 到 DMZ2 的静态路由,PF2 具有通过 PF1 到 DMZ1 的静态路由。WAN 有 NAT,但内部网络(DMZ1/2 和 TRUSTED)使用不同的 RFC1918 子网。
我继承了这种安排,以前一切都运行良好。我对 PF1 进行了配置更改(与多播有关),DMZ2 上的机器突然无法与 TRUSTED 通信。我回滚了更改,但问题仍然存在。
我猜您希望发生的是 TCP 数据包从 DMZ2 -> PF2 -> TRUSTED 出发,然后返回 TRUSTED -> PF1 -> PF2 -> DMZ2。这是我认为唯一可行的方法。但是,PF1 会丢弃返回的数据包。我已使用 tcpdump 验证了这一点。
我已经解决了这个问题,方法是通过 PF2 向 TRUSTED 上的服务器添加到 DMZ2 的静态路由,但那里的一些设备不支持静态路由,所以这并不理想。有没有办法让这种安排正常工作,还是说设计本身就有缺陷?
谢谢!
答案1
您需要在“系统”>“高级”下选择绕过静态路由过滤的选项。由于它是非对称路由,因此无法在该情况下过滤流量。