pfSenseがWANからLANにルーティングできるようにする
LANとWANの間に2つのネットワークインターフェイスが設定されたpfSenseインスタンスがあります。
192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN)
簡単にするために、フィルタリングルールですべてのトラフィックを許可しました。
これは正常に機能し、ゲートウェイがWAN上のホストに接続できるため、pfSense(10.0.1.100)を備えたLAN上のマシンは次のようになります。
<10.0.1.5> $ ping 192.168.1.10
64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms
ただし、ゲートウェイとしてpfSense(現在は192.168.1.100)を使用するWAN上のマシンは、LAN上のホストに接続できません。
<192.168.1.10> $ ping 10.0.1.5
*timeout*
ファイアウォールルールは、両方向のすべてのトラフィックを許可します。
tcpdumpは、パケットがWANインターフェースに正しく到着するが、LANインターフェースには送信されないことを示しています。
WANからLANへのルーティングを禁止するpfSenseの機能はありますか?WANのマシンがLANにルーティングできるようにするには、何をする必要がありますか?.
セキュリティへの影響を認識しています。これは単純化された例です。
NATはあなたの問題です。 1対1のNATを使用しているのでない限り、トラフィックは片側からのみ発信する必要があります。 1対1のNATでも、変換されたアドレスを使用して外部からpingを実行する必要があります。
これは数年前のことですが、解決策があります。
NATが問題ですが、PFSense Outbound NATモードをハイブリッドに変更してから、次の行に沿って静的ルールを入力できます:WAN interface、source 10.0 .1.0/24宛先192.168.1.0/24、およびDo Not NATオプションをチェックします。これにより、ローカルネットワークからのトラフィックでNATが発生しなくなりますこの特定の外部ネットワークに接続するWANネットワークがLANネットワークにアクセスすることを許可するファイアウォールルールのルールも必要です。