该问题已发布在产品特定论坛上,并在此报告以便让更多受众了解。
我们正在评估 pfSense 作为一种廉价的多 WAN 负载平衡器和流量整形器。我们在 pfSense 后面有一个单独的防火墙,没有计划替代它并将其功能集成到 pfSense 本身中。我读到“连接以循环方式在每个 WAN 上进行路由。”。例如,这可能会导致 https 连接出现问题,我们也在尝试解决旧式 ftp 远程服务器的问题。
我发现的文档建议在 WAN 上强制特定流量或启用粘性连接第一种方法是无法接受的负载平衡妥协。第二种方法不适用于我们的系统,因为如前所述,真正的局域网位于另一个防火墙后面,因此所有请求都来自同一个客户端 IP,而 pfSense 只会使用一个 WAN。
我们需要的可能是已经问过的问题这里但没有得到答复。
是否可以使用基于目标地址而不是源地址的粘性连接?可以尝试哪些替代方法来解决与循环路由相关的连接问题?
答案1
如果您已经对所有内容进行过一次 NAT,则不可能。无论如何,双重 NAT 都是不可取的,应该能够通过另一个防火墙进行路由,而不是进行 NAT(或完全摆脱另一个防火墙)。