pfSense book之靜态路由靜态路由

當主機或網絡通過預設網關以外的其他路由器可達時必須使用靜态路由。 pfSense知道直接連接配接到它的網絡，并按照路由表的訓示到達所有其他網絡。 在内部路由器連接配接其他内部子網的網絡中，必須為該網絡定義一條靜态路由才能到達。 通過這些其他網絡的路由器必須先添加為網關。 

靜态路由在系統>路由管理，靜态路由頁籤上設定。

添加路由:

導航到系統 >路由管理， 靜态路由頁籤

單擊  添加一條靜态路由

填寫如下配置:

目标網絡:指定使用此路由可達的網絡和子網路遮罩。

網關: 定義通過該網絡到達的路由器。

禁用: 設定是否不使用靜态路由。

描述: 輸入描述性文字供管理者參考

單擊儲存 

單擊應用更改

管理一個已經存的靜态路由:

在現有條目右側單擊  編輯該靜态路由

在現有條目右側單擊  删除該靜态路由

在現有條目右側單擊  禁用該靜态路由

在現有條目右側單擊  啟用該靜态路由

下圖是網絡拓撲：

靜态路由

由于上圖靜态路由中的192.168.2.0/24網絡不在直接連接配接到pfSense的接口上，是以需要使用靜态路由，以便防火牆知道如何到達該網絡。 如前所述，在添加靜态路由之前，必須首先定義網關。

靜态路由配置

防火牆規則調整也可能是必需的。 如果使用自定義LAN規則，則必須允許通過LAN上的靜态路由允許網絡通路。

在很多情況下，當使用靜态路由時，通信将不對稱地結束。 這意味着流量在一個方向上将沿着不同的路徑而不是在相反方向上進行傳遞。如下圖所示：

非對稱路由

從PC1到PC2的流量将經過pfSense，因為它是PC1的預設網關，但是相反方向的流量将直接從路由器到PC1。 由于pfSense是一個有狀态的防火牆，它必須看到整個連接配接的流量才能正确地過濾流量。 在這種非對稱路由的情況下，任何有狀态的防火牆都會丢棄合法的流量，因為它不能在兩個方向都看不到流量的情況下保持正常狀态。 這通常隻影響TCP，因為其他協定沒有正式的連接配接握手防火牆可以識别用于狀态跟蹤。

在非對稱路由場景中，有一個選項可用于防止合法流量被丢棄。 該選項添加了防火牆規則，允許使用更寬松的一組規則選項和狀态處理來定義在靜态路由中定義的網絡之間的所有流量。 要激活這個選項：

單擊系統 > 進階設定

單擊 防火牆/NAT頁籤

選中在同一接口上繞過流量的防火牆規則

單擊儲存

或者，可以手動添加防火牆規則以允許類似的流量。 需要兩個規則，一個在流量進入的接口頁籤上（例如區域網路），另一個在“浮動”頁籤上：

導航到防火牆 > 規則政策

單擊流量将進入的接口的頁籤 (如 LAN)

單擊  在清單頂部添加新的規則

進行如下設定:

協定:

TCP

源位址:

本地系統利用靜态路由的位址 (如 LAN Net)

目的位址:

路由的另一端的網絡

TCP 辨別:

設定為任意辨別 (在進階選項下)

狀态類型:

選Sloppy 狀态(在進階選項下)

單擊 儲存

單擊浮動頁籤

接口:

流量來源的接口 (如 LAN)

方向:

Out

本地系統利用靜态路由的位址 (如 LAN Net)

如果來自其他來源或目的地的其他流量在TCP标志（例如“TCP：SA”或“TCP：PA”）在防火牆日志中顯示被阻止，則可以調整或複制規則以比對該流量。

注意

如果需要在靜态路由子網之間進行流量過濾，則必須在路由器上進行過濾，而不是在防火牆上完成，因為防火牆不在網絡上，這樣可以有效控制流量。

本文轉自 鐵血男兒 51CTO部落格，原文連結：http://blog.51cto.com/fxn2025/2044687，如需轉載請自行聯系原作者