Hey,
ich mische mich jetzt mal direkt mit ein, das spart sicherlich Kommunikationszeit…
Wir versuchen nicht das Netzwerk aufzurüsten oder zu verbessern, es geht lediglich darum die bestehende iptables-Firewall gegen eine pfsense-Lösung auszutauschen.
Natürlich gebe ich dir recht, dass diese Konstellation mit einer solchen DMZ nicht wünschenswert ist und dies niemand freiwillig nachbauen wollen kann. Allerdings haben wir diese bestehende Struktur und momentan nicht die Möglichkeit etwas zu ändern. Irgendwo in der Planung (damals, vor unserer Zeit) ist gewaltig was schief gelaufen und durch mangelnde Kommunikation hat sich das nicht verbessert. Das Abteilungsnetz hat keine Möglichkeit zu wachsen und auch für die DMZ ist (bisher) kein anderer IP-Adressbereich verfügbar (gewesen). Uns sind in der Hinsicht die Hände gebunden.
Man könnte jetzt darüber diskutieren, ob es dann nicht eine Alternative wäre, dass man das Abteilungsnetz in drei eigene Subnetze aufteilt und die DMZ ebenfalls. Allerdings steht dann der Aufwand die Konfiguration anzupassen und alles was sonst noch da dran hängt, was wir jetzt noch nicht überblicken können gegenüber dem Aufwand, den IST-Zustand der iptables-Firewall auf pfsense abzubilden. Hierbei ist die Umstellung auf pfsense unsere Wahl...
Wie du selbst gesagt hast, so wie wir das abgebildet haben geht es. Zumindest theoretisch, praktisch haben wir mit pfsense dabei noch Probleme. Und genau da bräuchten wir die Hilfe...
Gruß
cBoLsmUiEc