David網誌

建立防火牆有時不僅僅是為了讓Private LAN上的主機可以對外透過WAN Port連線至Internet，有時也會有需要將Private LAN上主機的Service提供給Internet的Clients連線，像是常見的架設WWW服務等，接下來就針對將微軟Internet Information Server的WWW服務以及遠端桌面服務建立NAT Port Forward進行Step-by-Step的設定與功能測試。 首先我們為這一台預計提供 WWW服務以及遠端桌面服務的主機建立一個別名(Alias)， 建立 別名 主要的目的就是為了簡化管理，詳細的說明可參考原廠文件連結。  點選"Firewall"下的"Alias" 填寫以下個欄位，完成以後按下 "SAVE" 按下 "Apply Changes" 接續進行NAT Port Forward的設定： 點選"Firewall"下的"NAT" 點選"Add" 在"Destination port range"中選取"HTTP, 同時在"Redirect target IP"內輸入要被轉送的IP位置，也可使用之前已經定義好的主機別名；在這裡用的就是已經定義好的主機別名。 在"Redirect target port"中選擇"HTTP", Description欄位可以用來填寫說明, 完成後按下"SAVE" 按下 "Apply Changes" 如此便建立好了NAT埠轉送(NAT Port Forward)，但實際測試卻會發現無法自模擬的WAN端IP位址(192.168.50.50:80)連接至 LAN(192.168.11.100:80)端位址！ 主要的原因是我們所模擬的WAN端位置是屬於 RFC1918 所定義的私有網路，而被RFC1918所定義的網路正常會被pfSense的WAN端的預設規則"Block private network"

當區域網路上沒有提供DNS Server供主機名稱解析時，區網內的用戶通常得將DNS server指定成外部ISP提供的DNS以外，在pfSense 2.1版以前可以啟用DNS Forwarder，並將DNS Client上的"DNS Server"指定為pfSense的IP Address，讓pfSense代為轉送DNS query；自pfSense 2.2版以後新增了DNS Resolver並且預設為啟動，因為DNS Resolver與DNS Forwarder提供相同代為轉送DNS query的功能並且同樣使用port 53，因此兩個服務無法同時啟動，除非將其中一個服務改設定到其他的埠編號！相較於DNS Forwarder，DNS Resolver支援Secure DNS驗證及更完整的DNS Cache機制(參考 dnsmasq , DNS Forwarder僅快取一般常用的紀錄,(A, AAAA, CNAME and PTR))，也因此自pfSense 2.2以後DNS Resolver預設為啟動。 選取"Services"下的"DNS Forwarder" 勾選以下項目 Enable DNS forwarder 說明：啟用DNS轉送 DHCP Registration 說明：將DHCP租賃用戶端註冊到DNS forwarder中 Static DHCP 說明：將DHCP靜態對應註冊到DNS forwarder中 Prefer DHCP 說明：先解譯pfSense上儲存的DHCP對應表 "Listen Port"維持不變，同時"Interface"維持在"All"，按下"Save" pfSense回應因DNS Resolver已啟動，因此Port 53已佔用！ 改選取"Services"下的"DNS Resolver" 檢查DNS Resolver已經被啟動 勾選以下三個選項，然後按下"SAVE" 按下"Apply Changes" Referenc