michelle
2008-09-22, 03:29 PM
此文原作者:alang 原文出于此处, 并有其他 Pfsense 相关教学 (http://wiki.osslab.org.tw/index.php?title=%E5%AF%A6%E9%A9%97%E5%B0%88%E6%A1%88/PfSense/Pfsense_Wan)
此篇說明如何在 pfSense 設定一個 WAN 介面綁定多組 Public IP,適用於公司型網路有多組真實 IP 的應用時。例如多台主機須分別各對應不同的真實IP,但卻可以共用一個網路介面,並且受防火牆管控,除了管理上比較方便也比較安全。
步驟一:除了基本的 WAN,LAN 兩張網路卡外,在多加一張網卡作為其他真實 IP 之用,新網路卡須先作完分配才可以使用。
《Interface》《assign》點一下 加號,正常時,會多出一個網卡的列表。預設的介面名稱是 OPT1,稍後可以修改這個名稱為 WAN2。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=421&g2_serialNumber=1
步驟二:設定網路介面
《Interface》《OPT1》修改名稱為 WAN2。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=430&g2_serialNumber=1
IP Configuration 選 Bridge with WAN
Gateway 輸入 真實IP範圍的閘道位址。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=432&g2_serialNumber=1
步驟三:設定 Virtual IPs
《Firewall》《Virtual IPs》
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=435&g2_serialNumber=1
Type 選 proxy ARP
Interface 選 WAN2
IP Address 輸入要綁定的真實 IP 位址
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=439&g2_serialNumber=1
步驟四:設定 NAT 1:1
《Firewall》《NAT》《1:1》
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=443&g2_serialNumber=1
Interface 選 WAN2
External subnet 輸入要綁定的真實 IP 位址(同步驟三),右側的 sub-mask 請維持 32。
Internal subnet 輸入主機的虛擬 IP 位址。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=445&g2_serialNumber=1
步驟五:設定政策規則
《Firewall》《Rules》
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=449&g2_serialNumber=1
Action 選 Pass
Interface 選 WAN2
Protocol 選 TCP/UDP
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=451&g2_serialNumber=1
Destination 可設 Any 或指定主機的虛擬 IP
Destination Port 可設 Any 或限定 Port 範圍
到這裡,主機的服務已經可以對外連線,但為了管理方便,如果想開放外部可以 Ping 這台主機,在增加下述的規則即可。
Action 選 PASS
Interface 選 WAN2
Protocol 選 ICMP
如果 Source 和 Destination 都設為 Any,爾後按此篇增加其他的真實 IP 對應時,不需增加新規則即可支援外部 ping 功能。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=459&g2_serialNumber=1
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=463&g2_serialNumber=1
完成!!
此篇說明如何在 pfSense 設定一個 WAN 介面綁定多組 Public IP,適用於公司型網路有多組真實 IP 的應用時。例如多台主機須分別各對應不同的真實IP,但卻可以共用一個網路介面,並且受防火牆管控,除了管理上比較方便也比較安全。
步驟一:除了基本的 WAN,LAN 兩張網路卡外,在多加一張網卡作為其他真實 IP 之用,新網路卡須先作完分配才可以使用。
《Interface》《assign》點一下 加號,正常時,會多出一個網卡的列表。預設的介面名稱是 OPT1,稍後可以修改這個名稱為 WAN2。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=421&g2_serialNumber=1
步驟二:設定網路介面
《Interface》《OPT1》修改名稱為 WAN2。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=430&g2_serialNumber=1
IP Configuration 選 Bridge with WAN
Gateway 輸入 真實IP範圍的閘道位址。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=432&g2_serialNumber=1
步驟三:設定 Virtual IPs
《Firewall》《Virtual IPs》
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=435&g2_serialNumber=1
Type 選 proxy ARP
Interface 選 WAN2
IP Address 輸入要綁定的真實 IP 位址
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=439&g2_serialNumber=1
步驟四:設定 NAT 1:1
《Firewall》《NAT》《1:1》
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=443&g2_serialNumber=1
Interface 選 WAN2
External subnet 輸入要綁定的真實 IP 位址(同步驟三),右側的 sub-mask 請維持 32。
Internal subnet 輸入主機的虛擬 IP 位址。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=445&g2_serialNumber=1
步驟五:設定政策規則
《Firewall》《Rules》
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=449&g2_serialNumber=1
Action 選 Pass
Interface 選 WAN2
Protocol 選 TCP/UDP
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=451&g2_serialNumber=1
Destination 可設 Any 或指定主機的虛擬 IP
Destination Port 可設 Any 或限定 Port 範圍
到這裡,主機的服務已經可以對外連線,但為了管理方便,如果想開放外部可以 Ping 這台主機,在增加下述的規則即可。
Action 選 PASS
Interface 選 WAN2
Protocol 選 ICMP
如果 Source 和 Destination 都設為 Any,爾後按此篇增加其他的真實 IP 對應時,不需增加新規則即可支援外部 ping 功能。
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=459&g2_serialNumber=1
http://www.osslab.org.tw/gallery2/main.php?g2_view=core.DownloadItem&g2_itemId=463&g2_serialNumber=1
完成!!