靜態(tài)路由

當(dāng)主機(jī)或網(wǎng)絡(luò)通過默認(rèn)網(wǎng)關(guān)以外的其他路由器可達(dá)時(shí)必須使用靜態(tài)路由。 pfSense知道直接連接到它的網(wǎng)絡(luò)，并按照路由表的指示到達(dá)所有其他網(wǎng)絡(luò)。 在內(nèi)部路由器連接其他內(nèi)部子網(wǎng)的網(wǎng)絡(luò)中，必須為該網(wǎng)絡(luò)定義一條靜態(tài)路由才能到達(dá)。 通過這些其他網(wǎng)絡(luò)的路由器必須先添加為網(wǎng)關(guān)。?

靜態(tài)路由在系統(tǒng)>路由管理，靜態(tài)路由選項(xiàng)卡上設(shè)置。

管理靜態(tài)路由

添加路由:

• 導(dǎo)航到系統(tǒng)?>路由管理，?靜態(tài)路由選項(xiàng)卡

• 單擊??添加一條靜態(tài)路由

• 填寫如下配置:

  目標(biāo)網(wǎng)絡(luò):指定使用此路由可達(dá)的網(wǎng)絡(luò)和子網(wǎng)掩碼。

• 網(wǎng)關(guān):?定義通過該網(wǎng)絡(luò)到達(dá)的路由器。

• 禁用:?設(shè)置是否不使用靜態(tài)路由。

• 描述:?輸入描述性文字供管理員參考

• 單擊保存?

• 單擊應(yīng)用更改

管理一個(gè)已經(jīng)存的靜態(tài)路由:

• 導(dǎo)航到系統(tǒng)?>路由管理，?靜態(tài)路由選項(xiàng)卡

• 在現(xiàn)有條目右側(cè)單擊??編輯該靜態(tài)路由

• 在現(xiàn)有條目右側(cè)單擊??刪除該靜態(tài)路由

• 在現(xiàn)有條目右側(cè)單擊??禁用該靜態(tài)路由

• 在現(xiàn)有條目右側(cè)單擊??啟用該靜態(tài)路由

• 單擊應(yīng)用更改

靜態(tài)路由設(shè)置實(shí)例

下圖是網(wǎng)絡(luò)拓?fù)?#xff1a;

靜態(tài)路由

由于上圖靜態(tài)路由中的192.168.2.0/24網(wǎng)絡(luò)不在直接連接到pfSense的接口上，因此需要使用靜態(tài)路由，以便防火墻知道如何到達(dá)該網(wǎng)絡(luò)。 如前所述，在添加靜態(tài)路由之前，必須首先定義網(wǎng)關(guān)。

靜態(tài)路由配置

防火墻規(guī)則調(diào)整也可能是必需的。 如果使用自定義LAN規(guī)則，則必須允許通過LAN上的靜態(tài)路由允許網(wǎng)絡(luò)訪問。

繞過相同接口上的流量的防火墻規(guī)則

在很多情況下，當(dāng)使用靜態(tài)路由時(shí)，通信將不對(duì)稱地結(jié)束。 這意味著流量在一個(gè)方向上將沿著不同的路徑而不是在相反方向上進(jìn)行傳遞。如下圖所示：

非對(duì)稱路由

從PC1到PC2的流量將經(jīng)過pfSense，因?yàn)樗荘C1的默認(rèn)網(wǎng)關(guān)，但是相反方向的流量將直接從路由器到PC1。 由于pfSense是一個(gè)有狀態(tài)的防火墻，它必須看到整個(gè)連接的流量才能正確地過濾流量。 在這種非對(duì)稱路由的情況下，任何有狀態(tài)的防火墻都會(huì)丟棄合法的流量，因?yàn)樗荒茉趦蓚€(gè)方向都看不到流量的情況下保持正常狀態(tài)。 這通常只影響TCP，因?yàn)槠渌麉f(xié)議沒有正式的連接握手防火墻可以識(shí)別用于狀態(tài)跟蹤。

在非對(duì)稱路由場(chǎng)景中，有一個(gè)選項(xiàng)可用于防止合法流量被丟棄。 該選項(xiàng)添加了防火墻規(guī)則，允許使用更寬松的一組規(guī)則選項(xiàng)和狀態(tài)處理來定義在靜態(tài)路由中定義的網(wǎng)絡(luò)之間的所有流量。 要激活這個(gè)選項(xiàng)：

• 單擊系統(tǒng)?>?高級(jí)設(shè)置

• 單擊?防火墻/NAT選項(xiàng)卡

• 選中在同一接口上繞過流量的防火墻規(guī)則

• 單擊保存

或者，可以手動(dòng)添加防火墻規(guī)則以允許類似的流量。 需要兩個(gè)規(guī)則，一個(gè)在流量進(jìn)入的接口選項(xiàng)卡上（例如局域網(wǎng)），另一個(gè)在“浮動(dòng)”選項(xiàng)卡上：

• 導(dǎo)航到防火墻?>?規(guī)則策略

• 單擊流量將進(jìn)入的接口的選項(xiàng)卡 (如?LAN)

• 單擊??在列表頂部添加新的規(guī)則

• 進(jìn)行如下設(shè)置:

  協(xié)議:源地址:目的地址:TCP?標(biāo)識(shí):狀態(tài)類型:

  TCP

  本地系統(tǒng)利用靜態(tài)路由的地址 (如?LAN Net)

  路由的另一端的網(wǎng)絡(luò)

  設(shè)置為任意標(biāo)識(shí)?(在高級(jí)選項(xiàng)下)

  選Sloppy?狀態(tài)(在高級(jí)選項(xiàng)下)

• 單擊?保存

• 單擊浮動(dòng)選項(xiàng)卡

• 單擊??在列表頂部添加新的規(guī)則

• 進(jìn)行如下設(shè)置:

  接口:方向:協(xié)議:源地址:目的地址:TCP?標(biāo)識(shí):狀態(tài)類型:

  流量來源的接口?(如?LAN)

  Out

  TCP

  本地系統(tǒng)利用靜態(tài)路由的地址?(如?LAN Net)

  路由的另一端的網(wǎng)絡(luò)

  設(shè)置為任意標(biāo)識(shí)?(在高級(jí)選項(xiàng)下)

  選Sloppy?狀態(tài)(在高級(jí)選項(xiàng)下)

• 單擊保存

如果來自其他來源或目的地的其他流量在TCP標(biāo)志（例如“TCP：SA”或“TCP：PA”）在防火墻日志中顯示被阻止，則可以調(diào)整或復(fù)制規(guī)則以匹配該流量。

注意

如果需要在靜態(tài)路由子網(wǎng)之間進(jìn)行流量過濾，則必須在路由器上進(jìn)行過濾，而不是在防火墻上完成，因?yàn)榉阑饓Σ辉诰W(wǎng)絡(luò)上，這樣可以有效控制流量。

本文轉(zhuǎn)自 鐵血男兒 51CTO博客，原文鏈接：http://blog.51cto.com/fxn2025/2044687，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的pfSense book之静态路由的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。