我有一个networking设置使用两个pfSense路由器像这样排列:
DMZ1 WAN1 WAN2 DMZ2 | | | | | | | | \___ PF1 PF2___/ | | | | \___TRUSTED___/ 每台pfSense路由器都有自己独立的广域网连接,并附有独立的DMZnetworking。 他们之间有一个共同的TRUSTED LAN。
可信networking中的机器具有PF1作为其默认网关。 PF1有通过PF2定义到DMZ2的静态路由,PF2有通过PF1到DMZ1的静态路由。 WAN有NAT,但内部networking(DMZ1 / 2和TRUSTED)使用不同的RFC1918子网。
我inheritance了这个安排,都习惯了正常工作。 我对PF1进行了configuration更改(与多播有关),DMZ2上的机器突然无法与TRUSTED通信。 我把变化推回去,但问题依然存在。
我猜你会希望会发生的是,TCP数据包会去DMZ2 – > PF2 – >信任,并返回TRUSTED – > PF1 – > PF2 – > DMZ2。 这是我能看到它能奏效的唯一方法。 但是,PF1会丢弃返回的数据包。 我已经使用tcpdumpvalidation了这一点。
我已经解决了这个问题,通过添加静态路由到DMZ2通过PF2到TRUSTED上的服务器,但是那里的一些设备不支持静态路由,所以这并不理想。 有没有办法使这种安排工作体面,或是devise本身有缺陷?
谢谢!
您需要在“系统”>“高级”下绕过静态路由的过滤。 由于路由不对称,因此无法过滤该场景中的stream量。