Điểm:0

IP ảo trên pfSense

lá cờ fr

Đang thiết lập bộ định tuyến pfSense mới và tôi hơi bối rối về cách chọn giữa Bí danh IP hoặc Proxy ARP cho nhu cầu của mình. Tôi đừng có ý định thiết lập HA, vì vậy tôi cho rằng CARP là không cần thiết.

Tôi có một khối CIDR công khai (203.0.113.0/26) được chỉ định từ ISP của mình và được định cấu hình như sau:

Cổng ngược dòng: 203.0.113.1
Phát sóng: 203.0.113.63
pfSense WAN: 203.0.113.2/26
Quản lý mạng LAN: 10.0.0.1/24
Vlan DMZ: 10.0.10.1/26

Mục tiêu: Tôi muốn định tuyến các IP công cộng còn lại tới các máy ảo trên DMZ VLAN bằng NAT 1:1. Những máy chủ này sẽ là máy chủ web công khai. Tôi làm dự định sử dụng pfBlockerNG để hạn chế lưu lượng truy cập không mong muốn.

Câu hỏi: Tùy chọn nào được ưu tiên (hoặc duy nhất) để định cấu hình IP ảo cho mục tiêu và tại sao? Tôi đã đọc qua tài liệu pfSense, nhưng tôi vẫn không chắc chắn 100%. Có câu trả lời dứt khoát hay cả hai phương pháp đều được chấp nhận?

https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses.html?highlight=virtual

Paul avatar
lá cờ cn
Chào mừng đến với Lỗi máy chủ! Vui lòng sử dụng địa chỉ IP thực của bạn hoặc địa chỉ IP dành riêng cho tài liệu như được nêu trong RFC 5737. Việc sử dụng địa chỉ IP được chỉ định của người khác có thể khiến mọi thứ trở nên khó hiểu, đặc biệt là khi sử dụng các địa chỉ IP được chỉ định phổ biến.
Điểm:0
lá cờ pl

Tôi đã nhiều lần thiết lập NAT 1-1 cho các địa chỉ IP công cộng và tôi luôn sử dụng ProxyARP.

Sự khác biệt chính giữa Bí danh IP và ProxyARP là bí danh cũng có thể được liên kết với các dịch vụ cục bộ đang chạy trên máy pfSense. Vì đó không phải là điều bạn đang làm, nên không có lý do gì để thiết lập để cho phép điều đó. (Lưu ý rằng ngoài NAT 1-1, các địa chỉ ProxyARP cũng có thể được sử dụng để chuyển tiếp cổng riêng lẻ.)

Một lưu ý quan trọng về việc thiết lập ProxyARP: với một số nhà cung cấp, bạn có thể thiết lập pfSense của mình để phản hồi toàn bộ mạng con bằng một mục ProxyARP duy nhất, nhưng đối với các nhà cung cấp khác, bạn cần thêm một mục ProxyARP riêng lẻ cho từng IP công cộng. Tôi không biết tại sao lại như vậy, nhưng tôi thấy điều này đúng với nhiều nhà cung cấp.

Justin Buckley avatar
lá cờ fr
Cảm ơn bạn đã trả lời! Liên quan đến nhận xét của bạn về chuyển tiếp cổng riêng lẻ, điều đó có nghĩa là tạo quy tắc chuyển tiếp cổng, chỉ định địa chỉ ProxyARP làm đích? Ngoài ra, về tùy chọn Mở rộng trong cấu hình ProxyARP: Vô hiệu hóa việc mở rộng mục nhập này vào IP trên danh sách NAT (ví dụ: 192.168.1.0/24 mở rộng thành 256 mục nhập.) Điều này có thực sự vô hiệu hóa thông số kỹ thuật của toàn bộ mạng con và thay vào đó đăng ký nó dưới dạng một máy chủ duy nhất hay điều đó có nghĩa là điều gì đó khác biệt?
lá cờ pl
Có, bạn có thể chỉ định địa chỉ ProxyARP làm Địa chỉ đích để chuyển tiếp cổng. Chúng tôi sử dụng điều này cùng với NAT 1-1 để chúng tôi có thể nói "NAT 1-1 địa chỉ IP công cộng này tới một máy chủ nội bộ ngoại trừ các cổng trên địa chỉ đó đi đến một máy chủ khác."
lá cờ pl
Tôi chưa bao giờ sử dụng hộp kiểm "Tắt mở rộng"

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.