pfSense设置建议
我想建立一个广域网,DMZ和私有局域网。
我想做一个拒绝全部,只需要打开DMZ所需的4-5端口和私有LAN上的拒绝所有端口。
在DMZ是一个网络服务器,所有的公共IP。
我有三个NICS在这个盒子里。
em1 = WAN --这是我的ISP em3 = LAN提供的静态IP,pfSense提供了一个192.168.x.x地址。
因此,我的连接是互联网-> pfSense Box ->公共交换机->公共服务器在这里插入了公共IP,然后我还想要pfSense Box ->专用交换机->私密的东西,比如无线、笔记本等等。
我看不到的是如何创建一个DMZ (如果需要分开的话)?
如何编辑规则集?
有人玩得很好吗?
更新1:好的,我看到人们通常通过定义OPT接口来创建DMZ。
回答 1
Server Fault用户
发布于 2012-01-31 01:25:39
设置它的最佳方法是在所有三个区域之间默认拒绝所有,并且只允许需要的端口。您应该为INTERNET <-> DMZ流量、INTERNET <->私有通信量和DMZ <->私有通信量创建规则集。默认情况下,所有规则集都应被拒绝。然后,根据需要打开特定的端口。
另一个最佳做法是只开放与特定IP之间的端口。如果您只打算使用DMZ_IP_X从具有PRIV_IP_Y的特定机器修改具有SSH的特定DMZ服务器,则应该只从PRIV_IP_Y到DMZ_IP_X打开端口22,而不是打开端口22上从私有到DMZ的所有通信量。
本质上,您希望将DMZ视为另一个专用区域。唯一真正的区别是,您应该关闭DMZ中的DHCP,并有单独的路由规则,以允许这些机器直接与互联网对话。至于防火墙规则,在默认情况下,您仍然希望拒绝所有这些,只在需要时打开特定的端口。
https://serverfault.com/questions/355268
复制相似问题
腾讯云开发者
