[操作疑難] pfSense 新手 subnet 問題

本帖最後由 winstercafe 於 2015-7-20 12:29 編輯

家中其實有一部舊 notebook 封塵已久
假日找出來試試安裝 pfSense
完成後設定如下:

原有 Asus RT-AC68U subnet 192.168.1.0/24 沒改動
新加的 pfSense WAN port 是 DHCP 取得 IP
新設定 pfSense LAN 是 192.168.2.0/24
DHCP server 已啟動使用中
LevelOne Router 是舊物,旨在當 switch 用和 wifi AP (WAN port disconnect)
LevelOne DHCP disabled

完成後 client 經 LevelOne 可以連入 192.168.2.0/24 subnet 取得 pfSense DHCP server 派的 IP,並可以連入  webConfigurator:
https://192.168.2.1:8443
經設定 firewall rule, client 也可以連到 WAN port 的 webConfigurator:
https://192.168.1.74:8443
https://doc.pfsense.org/index.php/Remote_firewall_Administration

但是,PC1 始終未能連接 https://192.168.1.74:8443 的 webConfigurator
ping failure (未設定 icmp forward?)
用  nmap -sP 192.168.1.74 卻成功得到 host up result:
Nmap scan report for pfSense (192.168.1.74)
Host is up (0.0014s latency).
MAC Address: ****** (IBM)
Nmap done: 1 IP address (1 host up) scanned in 0.40 seconds
請問該如何設定讓 PC1 連上 webConfigurator?

本帖最後由 evantkh 於 2015-7-20 12:37 編輯

請輸入iptables -L,然後貼個結果出黎。

請注意,因為你係連去個router,所以對個router係INPUT,經個router route packet的才是FORWARD。

另外,行double NAT係唔好的。

你係咪set錯左port,你應該用TCP port 8443,而唔係HTTPS。用HTTPS對個firewall黎講可會當左係port 443。

TOP

本帖最後由 winstercafe 於 2015-7-20 14:50 編輯

Sorry 我唔係好識 routing table
只係知道一啲基本 7 layer 理論咁多咋
曾經嘗試去 AC68U (亂)加 static route,不過冇效,於是還原

PC1:
  1. Chain INPUT (policy ACCEPT)
  2. target     prot opt source               destination

  3. Chain FORWARD (policy ACCEPT)
  4. target     prot opt source               destination

  5. Chain OUTPUT (policy ACCEPT)
  6. target     prot opt source               destination
複製代碼
AC68U:
  1. Chain INPUT (policy ACCEPT)
  2. target     prot opt source               destination
  3. DROP       all  --  anywhere             anywhere             state INVALID
  4. ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
  5. ACCEPT     all  --  anywhere             anywhere             state NEW
  6. ACCEPT     all  --  anywhere             anywhere             state NEW
  7. ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
  8. DROP       all  --  anywhere             anywhere

  9. Chain FORWARD (policy DROP)
  10. target     prot opt source               destination
  11. ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
  12. DROP       all  --  anywhere             anywhere
  13. DROP       all  --  anywhere             anywhere             state INVALID
  14. ACCEPT     all  --  anywhere             anywhere
  15. DROP       icmp --  anywhere             anywhere
  16. ACCEPT     all  --  anywhere             anywhere             ctstate DNAT
  17. ACCEPT     all  --  anywhere             anywhere

  18. Chain OUTPUT (policy ACCEPT)
  19. target     prot opt source               destination

  20. Chain FUPNP (0 references)
  21. target     prot opt source               destination

  22. Chain PControls (0 references)
  23. target     prot opt source               destination
  24. ACCEPT     all  --  anywhere             anywhere

  25. Chain logaccept (0 references)
  26. target     prot opt source               destination
  27. LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "ACCEPT "
  28. ACCEPT     all  --  anywhere             anywhere

  29. Chain logdrop (0 references)
  30. target     prot opt source               destination
  31. LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "DROP "
  32. DROP       all  --  anywhere             anywhere
複製代碼
我知行double NAT係唔好,只係希望暫時唔好郁到 existing network,因為本身有開 vpn/http,希望 pfSense + firewall 一切設定完成後 (熟習使用後),一野抽走 AC68U,將 pfSense WAN port 直駁出 Internet,minimize service downtime

至於 port 8443 我係 Destination port range customs set 8443,doc 的圖只是參考

TOP

本帖最後由 winstercafe 於 2015-7-20 15:58 編輯

呢個係 AC68U 既 routing table
係咪應該加番 192.168.1.74 route 去 192.168.1.74 LAN?
  1. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  2. 89.64.46.1     *               255.255.255.255 UH    0      0        0 WAN
  3. 192.168.1.0     *               255.255.255.0   U     0      0        0 LAN
  4. 89.64.46.0     *               255.255.255.0   U     0      0        0 WAN
  5. default         89.64.46.1     0.0.0.0         UG    0      0        0 WAN
複製代碼

TOP

本帖最後由 kin021360 於 2015-7-20 17:24 編輯
呢個係 AC68U 既 routing table
係咪應該加番 192.168.1.74 route 去 192.168.1.74 LAN?
winstercafe 發表於 2015-7-20 15:50


AC68U既LAN同192.168.1.74 唔係係同一個network(192.168.1.0/24)咩
為何仲要加route

PS 如果PC1要去192.168.2.0 network就應該要加route

TOP

pfSense WAN interface 你有冇tick左 block private networks?

TOP

pfSense WAN interface 你有冇tick左 block private networks?
kin021360 發表於 2015-7-20 17:35



    呢個都有可能。

TOP

Sorry 我唔係好識 routing table
只係知道一啲基本 7 layer 理論咁多咋
曾經嘗試去 AC68U (亂)加 static ro ...
winstercafe 發表於 2015-7-20 14:41



    我想講用notebook行pfSense果個,唔係AC68U。

TOP

呢個都有可能。
evantkh 發表於 2015-7-20 19:00


係呢個 tick, 一 untick 就得左
   

TOP

我想講用notebook行pfSense果個,唔係AC68U。
evantkh 發表於 2015-7-20 19:02



   
iptables: Command not found.

TOP