pfSense NAT 到内部第二个路由器后面的第二个 LAN 子网中的服务器(不起作用)

pfSense NAT 到内部第二个路由器后面的第二个 LAN 子网中的服务器(不起作用)

我有一个 pfSense 防火墙/路由器,它向我的公共 IP 公开一些服务。

只要服务位于主 LAN 子网 ( 192.168.1.0/24) 上,一切正常,我们就称其为羊毛

例如这个有效:

public_ip:443 -> pfSense (NAT) -> 192.168.1.20:5443 (reverse proxy)

我还有第二个 LAN 192.168.88.0/24,我们称之为局域网B,这是微克罗蒂克路由器开启192.168.1.111。在 pfSense 中,我有一个网络静态路由,192.168.88.0/24指定192.168.1.111其为网关。

羊毛我现在可以连接到局域网B例如,192.168.88.10透明地,与主机相同羊毛(除了一个奇怪的问题ssh 这里提到,仍未解决) 。 (主持人局域网B也可以正常连接互联网,因为微克罗蒂克路由器pfSense将上的盒子指定192.168.1.1为其客户端的网关)。

到目前为止一切顺利。但现在我想在局域网B比如说192.168.88.10:10000通过我的外部 IP 上的 NAT。因此我像平常一样做同样的事情:

public_ip:10000 -> pfSense (NAT+Rule) -> 192.168.88.10:10000

但是,这不起作用(nmap从外部看,端口显示为filtered,但在 LAN 中它位于open)。所以看起来 NAT 逻辑不知道我的静态路由?

这似乎合乎逻辑,因为静态路由“存在于”我的 pfSense 本地接口( )的范围内,以及和LANBRIDGE之间的防火墙(NAT),因此它可能不知道 到 的连接要经过。但如何让它工作呢?WANLANBRIDGE192.168.88.0/24192.168.1.111

答案1

发现问题(供以后参考并可能帮助其他人):

所描述的设置(OP)在侧面是可以的pfSense

问题是微克罗蒂克路由器应转发(转发链)实际源地址(即连接到外部 IP 的地址),这些地址将是 ,0.0.0.0/0而不仅仅是地址192.168.1.0/24。出于安全原因,如果需要,转发规则可以限制在某些端口上。

相关内容