Tiago Stapenhorst Martins Asked: 2020-02-13 11:10:14 +0800 CST2020-02-13 11:10:14 +0800 CST 2020-02-13 11:10:14 +0800 CST 是否可以仅使用 PfSense 和第 2 层交换机将 LAN 上的防火墙应用于 LAN 数据包? 772 是否可以将 LAN 上的防火墙规则应用于 LAN 数据包? 想象一下以下架构: 要获得有效的 IP,客户端必须使用 802.1x 针对 pfSense 的 radius 服务器对 PfSense LAN 网络进行身份验证。 之后,Client1 和 Client2 之间发送的所有数据包都将由 PfSense 防火墙管理和过滤。 这种架构可能吗?有什么注意事项吗? 802.1 switch pfsense 3 个回答 Voted vonbrand 2020-02-13T13:20:41+08:002020-02-13T13:20:41+08:00 “第 2 层交换机”实际上是一个交换机,也就是说,它的唯一任务是将网络帧从一个网络分支转发到另一个网络分支。但是随着当今硬件成本的急剧下降,许多称为“交换机”的设备具有许多附加功能(例如处理 VLAN、使用同一个盒子伪造单独的网络——本质上允许您将交换机分成几个单独的交换机;使用各种标准),直到和作为路由器工作(连接单独的网络,根据需要路由流量)。通常你会得到一个真正是路由器的“交换机”,并且那些通常具有智能(硬件方面)来进行流量过滤(即,充当防火墙)。 例如,您家中的“接入点”或“有线调制解调器”盒子实际上是一个路由器和 WiFi 接入点(将有线网络连接到 WiFi)加上一个防火墙(至少进行 NAT)。如果你看一眼,处理 WiFi 是一项非常复杂的业务(某些通道不能使用,取决于国家/地区;需要连接到网络并处理加密流量;需要从一个接入点切换到另一个接入点一座大型建筑;...),所有这些都在今天花费几美元的 WiFi 卡中完成。 Best Answer Kamil J 2020-02-13T13:41:18+08:002020-02-13T13:41:18+08:00 在第 2 层交换机的情况下,IP 不是那么重要,并且存在基于 MAC 地址的流量。直到目标位于同一网段(对于第 3 层视图,一旦它位于同一子网 - 例如 192.168.0.0/24 - 192.168.0.1 到 192.168.0.254 ),使用 ARP 协议(如果目标的 MAC 是未知),然后直接使用 MAC 地址和“第 2 层寻址”进行通信。 在这种情况下,“本地”流量(客户端 1 和客户端 2 之间)没有到达 pfsense,因此无法实现这种过滤...... 到达 pfsense 的流量是(在没有特殊路由的情况下)“其他”流量,因此子网之外的所有其他流量 - 通常由“默认”路由记录覆盖。 无论如何,交换机上的 802.1x 支持不是“基本”功能,所以如果有这种支持,最有可能也支持 VLAN - 802.1q。在这种情况下,您可以在身份验证后(基于半径的回复)将客户端分配到单独的 VLAN,因此在逻辑上,网段上将只有一个客户端和 pfsense 接口,或者换句话说,您将在逻辑上拆分网络并且没有 2 个客户端将在同一个 L2 交换机上。这样,所有流量都必须通过 pfsense 作为默认路由进行路由。在这种情况下,您还可以过滤客户端之间的流量。 缺点是防火墙的负载更高,如果客户端之间的流量很大,吞吐量很可能会降低。 jmt 2022-04-28T05:19:01+08:002022-04-28T05:19:01+08:00 我认为OP要问的是“有没有办法过滤同一网络中的流量”(因此不需要使用在这种情况下非常方便的网关是防火墙),我严重怀疑他在问什么是路由器、交换机、集线器或防火墙。换句话说,有没有办法强制所有节点的流量通过防火墙,这样它就可以过滤整个网络。据我所知,唯一能够执行此操作的网络管理器是 vmware NSX-T(NSX-V 已停产,但我们仍然引用它们)这意味着您处于虚拟化环境中……这实际上并不是一件愚蠢的事情现在有了 VDI 功能,是的,安全性是 VDI 非常强大的方面之一。 但是如果没有这种技术,你就注定了,TCP/IP就是由这个组成的,如果你在同一个子网上,你可以在没有任何许可的情况下访问任何东西。处理它。
“第 2 层交换机”实际上是一个交换机,也就是说,它的唯一任务是将网络帧从一个网络分支转发到另一个网络分支。但是随着当今硬件成本的急剧下降,许多称为“交换机”的设备具有许多附加功能(例如处理 VLAN、使用同一个盒子伪造单独的网络——本质上允许您将交换机分成几个单独的交换机;使用各种标准),直到和作为路由器工作(连接单独的网络,根据需要路由流量)。通常你会得到一个真正是路由器的“交换机”,并且那些通常具有智能(硬件方面)来进行流量过滤(即,充当防火墙)。
例如,您家中的“接入点”或“有线调制解调器”盒子实际上是一个路由器和 WiFi 接入点(将有线网络连接到 WiFi)加上一个防火墙(至少进行 NAT)。如果你看一眼,处理 WiFi 是一项非常复杂的业务(某些通道不能使用,取决于国家/地区;需要连接到网络并处理加密流量;需要从一个接入点切换到另一个接入点一座大型建筑;...),所有这些都在今天花费几美元的 WiFi 卡中完成。
在第 2 层交换机的情况下,IP 不是那么重要,并且存在基于 MAC 地址的流量。直到目标位于同一网段(对于第 3 层视图,一旦它位于同一子网 - 例如 192.168.0.0/24 - 192.168.0.1 到 192.168.0.254 ),使用 ARP 协议(如果目标的 MAC 是未知),然后直接使用 MAC 地址和“第 2 层寻址”进行通信。
在这种情况下,“本地”流量(客户端 1 和客户端 2 之间)没有到达 pfsense,因此无法实现这种过滤......
到达 pfsense 的流量是(在没有特殊路由的情况下)“其他”流量,因此子网之外的所有其他流量 - 通常由“默认”路由记录覆盖。
无论如何,交换机上的 802.1x 支持不是“基本”功能,所以如果有这种支持,最有可能也支持 VLAN - 802.1q。在这种情况下,您可以在身份验证后(基于半径的回复)将客户端分配到单独的 VLAN,因此在逻辑上,网段上将只有一个客户端和 pfsense 接口,或者换句话说,您将在逻辑上拆分网络并且没有 2 个客户端将在同一个 L2 交换机上。这样,所有流量都必须通过 pfsense 作为默认路由进行路由。在这种情况下,您还可以过滤客户端之间的流量。
缺点是防火墙的负载更高,如果客户端之间的流量很大,吞吐量很可能会降低。
我认为OP要问的是“有没有办法过滤同一网络中的流量”(因此不需要使用在这种情况下非常方便的网关是防火墙),我严重怀疑他在问什么是路由器、交换机、集线器或防火墙。换句话说,有没有办法强制所有节点的流量通过防火墙,这样它就可以过滤整个网络。据我所知,唯一能够执行此操作的网络管理器是 vmware NSX-T(NSX-V 已停产,但我们仍然引用它们)这意味着您处于虚拟化环境中……这实际上并不是一件愚蠢的事情现在有了 VDI 功能,是的,安全性是 VDI 非常强大的方面之一。
但是如果没有这种技术,你就注定了,TCP/IP就是由这个组成的,如果你在同一个子网上,你可以在没有任何许可的情况下访问任何东西。处理它。