我想设置WAN,DMZ和专用LAN.
我想做一个Deny ALL,只需打开我需要DMZ的4-5个端口,并在私有LAN上打开Deny
在DMZ上是一个网络Web服务器,都有公共IP.
我在这个盒子里有3个NICS.
em1 = WAN,这是我的ISP提供的静态IP
em3 = LAN和pfSense提供了192.168.x.x地址.
所以我的连接是INTERNET – > pfSense Box – >公共开关 – >这里使用公共IP插入公共服务器.我还想要pfSense Box – >私人交换机 – >私人的东西,如无线,笔记本电脑等
我没看到的是如何创建DMZ(如果需要分开)?
如何编辑规则集?
玩游戏教程的人玩得好吗?
更新1:好的,我看到人们通常通过定义OPT接口来创建DMZ.
解决方法
设置此选项的最佳方法是默认拒绝所有三个区域之间的所有区域,并仅根据需要允许端口.您应该为INTERNET< - >创建一个规则集. DMZ流量,INTERNET< - >私人交通和DMZ< - >私人交通.默认情况下,所有规则集都应拒绝全部.然后,根据需要,打开特定端口.
另一个最佳做法是仅打开与特定IP之间的端口.如果您打算仅使用具有PRIV_IP_Y的特定计算机通过SSH修改DMZ_IP_X的特定Web服务器,则应仅从PRIV_IP_Y到DMZ_IP_X打开端口22,而不要将端口22上的所有流量从PRIVATE打开到DMZ.
从本质上讲,您希望将DMZ视为另一个私有区域.唯一真正的区别是你应该关闭DMZ中的DHCP并使用单独的路由规则来允许这些机器直接与互联网通信.就防火墙规则而言,您仍然希望默认拒绝所有规则,只根据需要打开特定端口.
