Я хочу настроить WAN, DMZ и частную локальную сеть.
Я хочу сделать Deny ALL и просто открыть 4-5 портов, которые мне нужны для DMZ, и Deny all в частной локальной сети
в DMZ находятся веб-серверы с общедоступными IP-адресами.
У меня в коробке 3 NICS.
em1 = WAN, и это статический IP-адрес, предоставленный моим интернет-провайдером em3 = LAN и pfSense при условии, что это адрес 192.168.x.x.
Итак, мое соединение идет ИНТЕРНЕТ -> pfSense Box -> общедоступный коммутатор -> сюда подключаются общедоступные серверы с общедоступными IP. Затем я хочу также pfSense Box -> частный переключатель -> частные вещи, такие как беспроводная связь, ноутбуки и т. Д.
Я не вижу, как создать DMZ (если она должна быть отдельной)?
Как редактировать наборы правил?
У кого-нибудь есть хорошее руководство по игре?
ОБНОВЛЕНИЕ 1: Хорошо, я вижу, что люди обычно создают DMZ, определяя интерфейс OPT.
Лучший способ настроить это - по умолчанию запретить все между всеми тремя зонами и разрешить порты только по мере необходимости. Вы должны создать набор правил для трафика INTERNET <-> DMZ, INTERNET <-> PRIVATE и DMZ <-> PRIVATE. По умолчанию все наборы правил должны быть запрещены. Затем при необходимости откройте определенные порты.
Еще одна лучшая практика - открывать порты только на определенные IP-адреса и обратно. Если вы намереваетесь изменить только определенный веб-сервер с DMZ_IP_X через SSH с определенного компьютера с PRIV_IP_Y, тогда вам следует открыть порт 22 только с PRIV_IP_Y на DMZ_IP_X, а не весь трафик на порту 22 от PRIVATE к DMZ.
По сути, вы хотите относиться к своей DMZ как к другой частной зоне. Единственная реальная разница заключается в том, что вам следует отключить DHCP в своей DMZ и установить отдельные правила маршрутизации, чтобы эти машины могли напрямую общаться с Интернетом. Что касается правил брандмауэра, вы все равно хотите запретить все по умолчанию, открывая только определенные порты по мере необходимости.