У меня есть экземпляр pfSense с двумя сетевыми интерфейсами, настроенными между LAN и WAN:
192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN)
Для простоты я разрешил весь трафик в правилах фильтрации.
Это отлично работает, и машина в локальной сети с pfSense (10.0.1.100) в качестве шлюза может подключаться к хостам в глобальной сети:
<10.0.1.5> $ ping 192.168.1.10
64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms
Однако машина в WAN с pfSense (теперь 192.168.1.100) в качестве шлюза не может подключаться к хостам в LAN:
<192.168.1.10> $ ping 10.0.1.5
*timeout*
Правила брандмауэра разрешают весь трафик в обоих направлениях.
tcpdump показывает, что пакеты поступают на интерфейс WAN правильно, но никогда не отправляются на интерфейс LAN.
Есть ли в pfSense функция, запрещающая маршрутизацию из WAN в LAN? Что необходимо сделать, чтобы машины в глобальной сети могли маршрутизировать в локальную сеть.
Я осведомлен о последствиях для безопасности. Это упрощенный пример.
Я понимаю, что это уже пара лет, но решение есть.
NAT является проблемой, но в PFSense Outbound NAT вы можете изменить режим на гибридный, затем ввести статическое правило в следующих строках: интерфейс WAN, источник 10.0.1.0/24, пункт назначения 192.168.1.0/24, и отметьте опцию Do Not NAT. . Это предотвратит использование NAT для трафика, идущего из локальной сети в эту конкретную внешнюю сеть. Вам также необходимо правило в правилах брандмауэра, разрешающее WAN-сети доступ к LAN-сети.
NAT - это ваша проблема. Если вы не используете NAT «один-к-одному», вам нужно будет исходить трафик только с одной стороны. Даже при однозначном NAT вам потребуется выполнить эхо-запрос извне, используя переведенный адрес.