Você precisa da opção para ignorar a filtragem de rotas estáticas, em Sistema > Avançado. Não é possível filtrar o tráfego nesse cenário, já que ele é roteado de maneira assimétrica.
Eu tenho uma configuração de rede usando dois roteadores pfSense organizados assim: -
DMZ1 WAN1 WAN2 DMZ2
| | | |
| | | |
\___ PF1 PF2___/
| |
| |
\___TRUSTED___/
Cada roteador pfSense tem sua própria conexão WAN separada e uma rede DMZ separada conectada a ela. Eles compartilham uma LAN CONFIÁVEL comum entre eles.
As máquinas na rede confiável têm o PF1 como seu gateway padrão. PF1 tem uma rota estática definida para DMZ2 via PF2, e PF2 tem uma rota estática para DMZ1 via PF1. Há NAT na WAN, mas as redes internas (DMZ1 / 2 e TRUSTED) usam diferentes sub-redes RFC1918.
Eu herdei este arranjo, e tudo costumava funcionar bem. Eu fiz uma mudança de configuração para PF1 (relativo a multicast), e máquinas na DMZ2 de repente não conseguiram falar com TRUSTED. Eu rolei a mudança de volta, mas o problema persistiu.
O que eu acho que você esperaria que acontecesse é que os pacotes TCP seriam DMZ2 - > PF2 - > CONFIÁVEL e em retorno TRUSTED - > PF1 - > PF2 - > DMZ2. Essa é a única maneira que vejo que teria funcionado. No entanto, o PF1 descarta os pacotes de retorno. Eu verifiquei isso usando o tcpdump.
Eu trabalhei em torno disso, adicionando rotas estáticas para DMZ2 via PF2 para os servidores no TRUSTED, mas alguns dispositivos lá não suportam rotas estáticas, então isso não é o ideal. Existe maneira de fazer esse arranjo funcionar decentemente, ou o design é inerentemente defeituoso?
Obrigado!
Você precisa da opção para ignorar a filtragem de rotas estáticas, em Sistema > Avançado. Não é possível filtrar o tráfego nesse cenário, já que ele é roteado de maneira assimétrica.
Tags networking ip routing tcp pfsense