pfSense para rotear entre várias sub-redes na mesma LAN

Navegue suas respostas
5

Comecei com uma configuração padrão de pfSense: uma WAN e uma interface LAN, acesso LAN-a-WAN via NAT.

Agora eu precisava de uma segunda sub-rede lógica na LAN, que configurei da seguinte maneira:

  • configurou um VIP da segunda sub-rede na interface LAN do pfSense
  • trocou o NAT de saída de automático para manual
  • criou uma cópia da regra de NAT gerada automaticamente, definindo o intervalo de IP como o da nova sub-rede
  • adicionou uma nova regra de LAN permitindo qualquer tráfego da nova sub-rede

Quanto ao acesso à Internet, tudo parece bem. Os hosts da sub-rede podem acessar recursos externos.

No entanto, eu também gostaria que o pfSense direcionasse o tráfego entre as duas sub-redes. E aqui as coisas ficam complicadas: eu posso pingar entre sub-redes, mas as tentativas de conectar um TCP de um host na sub-rede A a um destino na sub-rede B expirarão.

Alguns pacotes de captura revelaram o seguinte:

  • Apesar das entradas da tabela de roteamento de acordo com as quais o Host B é remoto e o gateway padrão é o pfSense, o Host A não roteia o pfSense mas resolve o endereço MAC do Host B via ARP. Assim, o TCP SYN vai direto do Host A para o Host B, sem que o pfSense o veja.
  • O host B recebe o SYN e responde com o SYN-ACK. Desta vez, no entanto, a comunicação passa pelo pfSense.
  • O pfSense, portanto, vê um SYN-ACK sem ter encontrado o SYN correspondente e descartá-lo, presumindo que seja um tráfego malicioso. (As capturas mostram claramente o SYN-ACK no pfSense, mas não no Host A, e os logs mostram que ele é filtrado.)

Eu não sei exatamente o que faz o Host A ignorar as configurações de rota e ignorar o gateway padrão - no entanto, tudo isso não seria um problema se eu tivesse apenas um roteador simples. Prefiro não confiar em um comportamento específico de um sistema operacional, mas sim construir a infraestrutura de maneira tolerante. Por isso, quero que o roteamento entre as duas redes funcione mesmo que o pfSense veja apenas uma direção do tráfego. Como as duas sub-redes LAN têm o mesmo nível de confiança, não é necessário filtrar entre elas.

Como posso desativar toda e qualquer filtragem entre as duas sub-redes no pfSense? Eu tentei definir "State Type" para "None", mas sem sucesso ...

    
por user149408 14.05.2014 / 18:49

1 resposta

5

Como mencionado acima, isso não é mais um problema para mim, mas me deparei com uma possível solução:

A partir da versão 2.1.5 (não tenho certeza sobre os anteriores), há uma opção em Sistema: Avançado: Firewall e NAT , chamado Filtragem estática de rotas - < strong> Ignorar regras de firewall para tráfego na mesma interface . Ao marcar essa opção, você desativará qualquer filtragem para o tráfego que entra e sai na mesma interface, voltado especificamente para um cenário com vários subets na mesma interface.

Eu não testei (já que o ambiente de laboratório no qual eu precisava disso já foi desmontado), mas talvez ajude alguém ...

    
por 05.09.2014 / 18:13

Tags

Spotify parou scrobbling para libre.fm - incapaz de login Senha de prompt do Amazon EC2 quando sudo