我的设置如下:
互联网 -> PfSense -> Privats 子网服务器
PfSense 和私有子网服务器位于具有以下 IP 的 VPC 内。PfSense 具有互联网连接。它有一个弹性 IP。和一个私有 IP,10.0.0.20。
PfSense-> 10.0.0.0/24
私人服务器 -> 10.0.2.0/24
两者都可以互相 ping 通,因此它们之间的路由没问题。我想使用 pfsense 作为 NAT 网关,但在私有服务器上,我该怎么做?我已经设置了 squid 服务器,但 squid 受到限制,因为我想通过 pfsense IP 对来自 10.0.2.0/24 私有子网的所有流量进行 NAT。
在私人服务器上,我的默认网关是 10.0.2.1,网关应该是 pfSense 的 IP,但是当我更改它时,我失去了与服务器的所有连接(这是显而易见的)。
有什么办法可以解决这个问题吗?
(我不想使用 NAT 网关,而只想使用 pfSense,因为我想要安全性并且希望所有 vpc 流量都通过一个网关)
答案1
确保禁用作为 NAT 网关的实例的源/目标检查。您可以从“实例操作”菜单中执行此操作。EC2 实例上有一个默认安全设置,以防止 IP/MAC 欺骗。
答案2
检查 pfSense 出站 NAT 规则并验证:
- 您正在使用“手动出站 NAT”
- 您的“自动创建规则 - LAN 到 WAN”出站 NAT 条目的“源”子网是正确的。在大多数情况下,我看到的源设置为
/32
网络掩码,这显然是不正确的。源子网至少应该与您的 LAN 接口的子网匹配。
由于 EC2 网络工作方式的特殊性,自动 NAT 规则经常被错误创建,需要上述手动更正才能正常工作。此外,您可能需要在进行这些更改后完全重新启动 pfSense。