1.实验名称
Pfsense防火墙实验
2.实验目的
通过动手实践配置pfsense对加深对防火墙的原理与应用的理解。
3.实验内容
(1)安装并完成pfsense防火墙软件的基本配置(WAN, LAN,局域网DHCP服务)
WAN:192.168.91.128/24
LAN:10.0.1.1/24
DHCP地址池:10.0.1.10-10.0.1.20
基本配置完成:
(2)配置NAT,实现局域网连接外部网络
(3)配置WAN规则,禁用ICMP请求
此时主机不能使用icmp协议:
(4)配置LAN规则,禁用LAN对WAN的HTTPS协议通讯
此时HTTP协议仍能使用,而HTTPS协议无法使用:
(5)配置端口映射,使WAN网可以通过远程桌面远程访问LAN的某台windows系统
1.为LAN内的主机打开远程桌面服务,并添加用户:
2.为pfSense配置端口映射,一般远程桌面服务固定端口号3389,所以端口映射需要将WAN的3389端口映射到Windows2003虚拟机的IP
3.配置WAN的包过滤规则,允许对Windows2003虚拟机的3389端口的TCP数据包通过
4.主机打开远程桌面连接,输入 "192.168.91.128:3389",并指定用户名登录:
4.实验过程
实验过程中出现的情况与问题:
一:Windows2003虚拟机的网络适配器与pfsense的网咯适配器2不应设置成仅主机模式:与主机共享的专用网络,因为这样一来,就相当于主机与Windows虚拟机在同一网段下,Windows虚拟机绕过了pfsense防火墙,直接连接了外部网络。
解决方法:在虚拟网络编辑器中,添加一个自定义的仅主机模式的网络,并取消此网络的DHCP服务,将这两个网卡都划分到这一网络下。
二:pfsense的网咯适配器1不能设置成桥接模式:直接连接物理网络,而应设置成NAT模式:用于共享主机的IP地址。因为若设置成桥接模式,pfsense会占用校园网,而由于校园网一次只允许连接一台主机,会导致主机的网络不畅。
三:Windows2003虚拟机配置如下:
结果windows虚拟机ping不通10.0.1.1。
解决方法:将本地连接属性中除了Internet协议的服务全部关掉,后成功ping通:
四:Windows2003自带的浏览器版本太低,无法正确显示http://10.0.1.1/的全部内容。
解决方法:一开始尝试在Windows2003下载浏览器,经过尝试后以失败告终;最终决定将deepin虚拟机添加到内网中,并通过此虚拟机配置http://10.0.1.1/网站。
五:在配置LAN规则的时候,在Protocol中找不到HTTP协议。
解决方法:在Protocol中选择TCP协议,在Destination Port Range中找到HTTP与HTTPS协议,最终选择禁用HTTPS协议。
5.实验结论
防火墙是一种边界安全设备,它可以通过配置WAN、LAN规则来筛选网络流量以限制网络活动,也可以通过配置端口映射来使WAN的一个端口对应到内网的某一台主机,使WAN网可以远程访问LAN的某台主机。文章来源:https://www.toymoban.com/news/detail-542851.html
6.实验总结
这次实验涉及到虚拟机的网络配置、pfsense网络与规则的配置等许多方面,经过上网查找资料与与同学相互讨论、尝试,逐渐理清了实验的网络结构与原理以及相互之间的关系,问题一个一个被解决,受益匪浅。文章来源地址https://www.toymoban.com/news/detail-542851.html
到了这里,关于【网络系统集成】Pfsense防火墙实验的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!