Недавно (то есть 4 дня назад) я установил брандмауэр / маршрутизатор pfSense. Работает на удивление хорошо. Однако у меня есть несколько проблем:
1) Я не могу подключиться по SSH удаленно, несмотря на включение SSH. Однако я могу получить доступ к SSH коробки изнутри. В настоящее время я работаю над этим с помощью SSHing к внутреннему ящику (через порт 2222), а затем SSHing к ящику «изнутри».
2) Я не могу получить удаленный доступ к веб-странице коробки. В настоящее время мы работаем над переадресацией портов SSH через ранее упомянутый блок.
3) Я не могу получить доступ к перенаправленным портам изнутри. Я видел этот элемент документации (текст ссылки), но я пытаюсь сделать выбор между безопасностью и простотой настройки.
К вашему сведению, моя установка выглядит следующим образом:
[INTERNET] <--> ["DUMB" DSL MODEM (in "bridge" mode passing external IP on to pfSense)] <--> [pfSense box] <--> [24-port gig switch] <--> [OFFICE COMPUTERS]
Открытие дыр для внешнего доступа к вашему брандмауэру считается плохой практикой безопасности. Насколько мне известно, pfsense имеет встроенную возможность VPN: можно использовать как IPsec, так и PPTP.
Для PPTP вы можете использовать Windows, а также клиентское программное обеспечение Linux для подключения. Вот официальная документация pfsense по PPTP VPN.
Чтобы настроить PPTP в Linux, посетите веб-сайт клиента pptp.
Вам нужно убедиться, что в вашем брандмауэре есть дыра, чтобы разрешить входящий трафик на порт 22.
Ни при каких обстоятельствах не разрешайте входящий трафик на порт 80 или 443.
Если хотите, я бы порекомендовал настроить ssh-ключ. Таким образом, вам не нужно вводить пароль каждый раз при входе в систему.
если ты необходимость внешний ssh-доступ к вашему блоку PFSense, вам необходимо настроить NAT и открыть порт брандмауэра (конечно, PFSense сделает и то, и другое одновременно, если вы позволите). Когда вы выбираете доступ по ssh через веб-интерфейс, он включает ssh для порта локальной сети.
Если бы у вашего маршрутизатора был LAN-интерфейс 192.168.1.1, вы бы настроили nat, указывающий внешний порт, который вы хотите использовать (может быть, что-то вроде 2222 вместо стандартного 22 для небольшой непонятности) на порт 22 (или что-то еще вы выбрали, когда вы включили ssh) на 192.168.1.1.
Вы можете сделать то же самое для веб-доступа, но, пожалуйста, не делайте этого, и если вы должны хотя бы включить поддержку https. Вы также можете использовать настройки брандмауэра, чтобы при необходимости ограничить доступ только к некоторым хостам. (т.е. доступ к рабочему маршрутизатору только из дома или наоборот).