我有一个 pfSense 实例,它在 LAN 和 WAN 之间设置了两个网络接口:
192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN)
为了简单起见,我已在过滤规则中允许所有流量。
一切正常,LAN 上以 pfSense(10.0.1.100)作为网关的机器可以连接到 WAN 上的主机:
<10.0.1.5> $ ping 192.168.1.10
64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms
但是,WAN 上以 pfSense(现为 192.168.1.100)为网关的机器无法连接到 LAN 上的主机:
<192.168.1.10> $ ping 10.0.1.5
*timeout*
防火墙规则允许所有双向流量。
tcpdump 显示数据包正确到达 WAN 接口,但从未在 LAN 接口上发送。
pfSense 是否有禁止从 WAN 路由到 LAN 的功能?必须做什么才能允许 WAN 中的机器路由到 LAN。
我了解安全隐患。这是一个简化的示例。
答案1
NAT 是你的问题。除非你使用一对一 NAT,否则你只需要从一侧发起流量。即使使用一对一 NAT,你也需要使用转换后的地址从外部进行 ping。
答案2
我意识到这已经是几年前的事了,但有一个解决方案。
NAT 是问题所在,但在 PFSense 出站 NAT 中,您可以将模式更改为混合,然后输入一条静态规则,如下所示:WAN 接口,源 10.0.1.0/24 目标 192.168.1.0/24,并选中“不进行 NAT”选项。这将防止从本地网络到此特定外部网络的流量发生 NAT。您还需要在防火墙规则中设置一条规则,允许 WAN 网络访问 LAN 网络。