靜態路由

當主機或網絡通過默認網關以外的其他路由器可達時必須使用靜態路由。 pfSense知道直接連接到它的網絡，并按照路由表的指示到達所有其他網絡。 在內部路由器連接其他內部子網的網絡中，必須為該網絡定義一條靜態路由才能到達。 通過這些其他網絡的路由器必須先添加為網關。?

靜態路由在系統>路由管理，靜態路由選項卡上設置。

管理靜態路由

添加路由:

• 導航到系統?>路由管理，?靜態路由選項卡

• 單擊??添加一條靜態路由

• 填寫如下配置:

  目標網絡:指定使用此路由可達的網絡和子網掩碼。

• 網關:?定義通過該網絡到達的路由器。

• 禁用:?設置是否不使用靜態路由。

• 描述:?輸入描述性文字供管理員參考

• 單擊保存?

• 單擊應用更改

管理一個已經存的靜態路由:

• 導航到系統?>路由管理，?靜態路由選項卡

• 在現有條目右側單擊??編輯該靜態路由

• 在現有條目右側單擊??刪除該靜態路由

• 在現有條目右側單擊??禁用該靜態路由

• 在現有條目右側單擊??啟用該靜態路由

• 單擊應用更改

靜態路由設置實例

下圖是網絡拓撲：

靜態路由

由于上圖靜態路由中的192.168.2.0/24網絡不在直接連接到pfSense的接口上，因此需要使用靜態路由，以便防火墻知道如何到達該網絡。 如前所述，在添加靜態路由之前，必須首先定義網關。

靜態路由配置

防火墻規則調整也可能是必需的。 如果使用自定義LAN規則，則必須允許通過LAN上的靜態路由允許網絡訪問。

繞過相同接口上的流量的防火墻規則

在很多情況下，當使用靜態路由時，通信將不對稱地結束。 這意味著流量在一個方向上將沿著不同的路徑而不是在相反方向上進行傳遞。如下圖所示：

非對稱路由

從PC1到PC2的流量將經過pfSense，因為它是PC1的默認網關，但是相反方向的流量將直接從路由器到PC1。 由于pfSense是一個有狀態的防火墻，它必須看到整個連接的流量才能正確地過濾流量。 在這種非對稱路由的情況下，任何有狀態的防火墻都會丟棄合法的流量，因為它不能在兩個方向都看不到流量的情況下保持正常狀態。 這通常只影響TCP，因為其他協議沒有正式的連接握手防火墻可以識別用于狀態跟蹤。

在非對稱路由場景中，有一個選項可用于防止合法流量被丟棄。 該選項添加了防火墻規則，允許使用更寬松的一組規則選項和狀態處理來定義在靜態路由中定義的網絡之間的所有流量。 要激活這個選項：

• 單擊系統?>?高級設置

• 單擊?防火墻/NAT選項卡

• 選中在同一接口上繞過流量的防火墻規則

• 單擊保存

或者，可以手動添加防火墻規則以允許類似的流量。 需要兩個規則，一個在流量進入的接口選項卡上（例如局域網），另一個在“浮動”選項卡上：

• 導航到防火墻?>?規則策略

• 單擊流量將進入的接口的選項卡 (如?LAN)

• 單擊??在列表頂部添加新的規則

• 進行如下設置:

  協議:源地址:目的地址:TCP?標識:狀態類型:

  TCP

  本地系統利用靜態路由的地址 (如?LAN Net)

  路由的另一端的網絡

  設置為任意標識?(在高級選項下)

  選Sloppy?狀態(在高級選項下)

• 單擊?保存

• 單擊浮動選項卡

• 單擊??在列表頂部添加新的規則

• 進行如下設置:

  接口:方向:協議:源地址:目的地址:TCP?標識:狀態類型:

  流量來源的接口?(如?LAN)

  Out

  TCP

  本地系統利用靜態路由的地址?(如?LAN Net)

  路由的另一端的網絡

  設置為任意標識?(在高級選項下)

  選Sloppy?狀態(在高級選項下)

• 單擊保存

如果來自其他來源或目的地的其他流量在TCP標志（例如“TCP：SA”或“TCP：PA”）在防火墻日志中顯示被阻止，則可以調整或復制規則以匹配該流量。

注意

如果需要在靜態路由子網之間進行流量過濾，則必須在路由器上進行過濾，而不是在防火墻上完成，因為防火墻不在網絡上，這樣可以有效控制流量。

本文轉自 鐵血男兒 51CTO博客，原文鏈接：http://blog.51cto.com/fxn2025/2044687，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的pfSense book之静态路由的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。