2021年10月8日 星期五

pfSense內部看不到轉發出去的網站內容

 在pfSense上使用NAT的port forwarding功能讓內部網站轉給外部看到,但確出現外面的人可以透過pfSense使用網址直接看到網站,但在內網的人則沒辦法看到網站。例如:

  • 對外網站的WAN IP是1.2.3.4
  • 透過NAT的port forwarding,將80 port導入到內部網站10.2.3.4的80 port
  • 外面的人可以透過http://1.2.3.4:80看到內部網站http://10.2.3.4:80的內容
  • 內部的人無法透過http://1.2.3.4:80看到內部網站http://10.2.3.4:80的內容
    必須要使用內部網址http://10.2.3.4:80才能夠看到

問體起因於pfSense預設不讓內部設備讀取在WANport forwarding,官網提供兩種解法:
  1. NAT Reflection:一般的解法
    1. System > Advance, 打開 Firewall/NAT 分頁
    2. 在 Pure NAT 那段,選擇 NAT Reflection mode for port forwards
    3. 打勾 Enable NAT Reflection for 1:1 NAT
    4. 打勾 Enable automatic outbound NAT for Reflection
    5. 點 Save
  2. Split DNS:官方覺得比較漂亮的解法
    1. Service > DNS Resolver (或DNS forwarder) 
    2. 打勾 Enable DNA forwarder
    3. 打勾 Register DHCP leases in DNS forwarder
    4. 打勾 Register DHCP static mapping in DNS forwarder
    5. 點 Save

參考資料

_EOF_

沒有留言:

張貼留言