web-dev-qa-db-ja.com

pfSenseがWANからLANにルーティングできるようにする

LANとWANの間に2つのネットワークインターフェイスが設定されたpfSenseインスタンスがあります。

192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN)

簡単にするために、フィルタリングルールですべてのトラフィックを許可しました。

これは正常に機能し、ゲートウェイがWAN上のホストに接続できるため、pfSense(10.0.1.100)を備えたLAN上のマシンは次のようになります。

<10.0.1.5> $ ping 192.168.1.10
64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms

ただし、ゲートウェイとしてpfSense(現在は192.168.1.100)を使用するWAN上のマシンは、LAN上のホストに接続できません。

<192.168.1.10> $ ping 10.0.1.5
*timeout*

ファイアウォールルールは、両方向のすべてのトラフィックを許可します。

tcpdumpは、パケットがWANインターフェースに正しく到着するが、LANインターフェースには送信されないことを示しています。

WANからLANへのルーティングを禁止するpfSenseの機能はありますか?WANのマシンがLANにルーティングできるようにするには、何をする必要がありますか?.

セキュリティへの影響を認識しています。これは単純化された例です。

1
0x90

NATはあなたの問題です。 1対1のNATを使用しているのでない限り、トラフィックは片側からのみ発信する必要があります。 1対1のNATでも、変換されたアドレスを使用して外部からpingを実行する必要があります。

1
Ron Maupin

これは数年前のことですが、解決策があります。

NATが問題ですが、PFSense Outbound NATモードをハイブリッドに変更してから、次の行に沿って静的ルールを入力できます:WAN interface、source 10.0 .1.0/24宛先192.168.1.0/24、およびDo Not NATオプションをチェックします。これにより、ローカルネットワークからのトラフィックでNATが発生しなくなりますこの特定の外部ネットワークに接続するWANネットワークがLANネットワークにアクセスすることを許可するファイアウォールルールのルールも必要です。

1
Rick Farrow