.png)
내 공용 IP에 일부 서비스를 노출하는 pfSense 방화벽/라우터가 있습니다.
192.168.1.0/24서비스가 기본 LAN 서브넷( ) 에 있는 한 잘 작동합니다 .LAN-A.
예를 들어 다음과 같이 작동합니다.
public_ip:443 -> pfSense (NAT) -> 192.168.1.20:5443 (reverse proxy)
추가로 두 번째 LAN이 있습니다 192.168.88.0/24. 이를 호출하겠습니다.LAN-B, 그 뒤에는미크로틱라우터가 켜져 있습니다 192.168.1.111. pfSense에는 게이트웨이로 192.168.88.0/24지정하는 네트워크에 대한 고정 경로가 있습니다 .192.168.1.111
에서LAN-A이제 다음 호스트에 연결할 수 있습니다.LAN-B, 예를 들어 192.168.88.10, 투명하게, 호스트와 동일LAN-A(이상한 문제는 제외하고ssh 여기에 언급된 내용은 아직 해결되지 않았습니다.). (호스트는LAN-B정상적으로 인터넷에 연결할 수도 있습니다.미크로틱라우터는 pfSense상자를 192.168.1.1클라이언트에 대한 게이트웨이로 지정합니다.
여태까지는 그런대로 잘됐다. 하지만 이제 서비스를 공개하고 싶습니다.LAN-B, 192.168.88.10:10000내 외부 IP의 NAT를 통해 말해보세요. 그래서 저는 평소와 똑같이 합니다:
public_ip:10000 -> pfSense (NAT+Rule) -> 192.168.88.10:10000
그러나 이는 작동하지 않습니다( nmap외부에서는 포트가 로 표시되지만 filteredLAN 내에서는 으로 표시됩니다 open). 그럼 NAT 로직이 내 고정 경로를 모르는 것 같나요?
정적 경로가 pfSense의 내 로컬 인터페이스( ) 범위와 및 LANBRIDGE사이의 방화벽(NAT) 범위에 "살아" 있기 때문에 다소 논리적인 것처럼 보입니다. 따라서 아마도 통과할 연결을 알지 못할 것입니다 . 하지만 이것을 작동시키는 방법은 무엇입니까?WANLANBRIDGE192.168.88.0/24192.168.1.111
답변1
문제를 발견했습니다(나중에 참조하고 다른 사람에게 도움이 될 수 있음).
설명된 설정(OP)은 pfSense측면에서 괜찮습니다.
문제는미크로틱라우터는 실제 소스 주소(즉, 외부 IP에 연결되는 주소)를 전달(정방향 체인)해야 하며 이는 0.0.0.0/0address 뿐만이 아닙니다 192.168.1.0/24. 보안상의 이유로 필요한 경우 전달 규칙을 특정 포트로 제한할 수 있습니다.