我一直在使用防火墙/路由器发行Pfsense一段时间,我一直在试图弄清楚如何使用拒绝/拒绝LAN规则来“隔离”我局域网上的服务器与我局域网上的其他计算机。 我试过在Firewall-> rules-> LAN下添加一个规则来拒绝一个设备(我的电话例如192.168.1.102)发送任何TCP数据包到我的web服务器192.168.1.105。 出于某种原因,数据包设法通过。 奇怪的是,如果我指定路由器本身作为目的地,并阻止电话/计算机与它交谈,它的工作原理。 我已经使用无线笔记本电脑和无线电话在同一子网上testing了这一点。
我的拓扑结构如下所示:
(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices) | (Wireless laptop/phone) | == wifi -> == wire 是否有可能无线路由器/交换机只是将数据包从手机中继到服务器,完全绕过防火墙(解释为什么我的规则不起作用)? 如果是这样,我怎么能设置它,使所有的局域网stream量必须通过我的防火墙来与networking上的任何其他计算机通话?
在这里作为3代表网页界面的图像不会让我张贴图像:( 图像
如果两台主机在同一个子网上,stream量没有理由通过路由器。 你的规则永远不会被应用 。 这两个设备连接到交换机(或其他一些二层networking硬件)。 主机A说:“我希望这个stream量去主机B的IP”,你的开关说“好的,完成”。
更新:如果VLAN是一个选项,将每个主机放在一个单独的VLAN中。 这样,您可以在它们之间执行路由规则,并实现所需的逻辑分隔。
也许将有线设备(我假设服务器在这里)插入pfsense设备将允许您创build第3层分段。 或者,如果您正在运行一些高端思科设备,则可以设置专用vlan 。