我想build立一个广域网,DMZ和专用局域网。
我想做一个拒绝所有,只需打开4-5端口,我需要DMZ和拒绝所有在私人局域网
在DMZ上是一个网页服务器,都有公网IP。
我在这个盒子里有3个NICS。
em1 =广域网,这是我的ISP提供的静态IP em3 =局域网和pfSense提供了一个192.168.xx地址。
所以我的连接去INTERNET – > pfSense Box – >公共开关 – >公共服务器在这里插入公共IP。 然后,我也想pfSense盒 – >专用开关 – >私人的东西,如无线,笔记本电脑等
我没有看到如何创build一个DMZ(如果需要分开)?
如何编辑规则集?
任何人都有一个很好的玩游戏教程?
更新1:好的,我看到人们通常通过定义OPT界面来创build一个DMZ。
设置这个最好的方法是在所有三个区域之间默认全部拒绝,并且只根据需要允许端口。 您应该为INTERNET < – > DMZstream量,INTERNET < – > PRIVATEstream量和DMZ < – > PRIVATEstream量创build一个规则集。 所有的规则集都应默认全部拒绝。 然后根据需要打开特定的端口。
另一个最佳的做法是只打开和去往特定IP的端口。 如果您打算仅通过SSH从具有PRIV_IP_Y的特定计算机上通过SSH修改特定的Web服务器,则应该只将端口22从PRIV_IP_Y打开到DMZ_IP_X,而不是将端口22上的所有通信从PRIVATE打开到DMZ。
实质上,你想把你的DMZ当作另一个私人区域来对待。 唯一真正的区别是,你应该closures你的DMZ中的DHCP,并有单独的路由规则,让这些机器直接与互联网对话。 就防火墙规则而言,您仍然要默认拒绝所有,只根据需要打开特定的端口。