Configurazione Firewall con DMZ

crossfire007

Ciao a tutti. Sono nuovo, ho bisogno di un consiglio.

Vorrei mettere un Firewall nella mia rete domestica. Il mio ISP è Sky WiFi e per via del nat map-t non so come configurare il FW.

Avevo pensato ad una dmz sul router sky e cosi collegarci il FW (con le opportune regola di nat).

Vi allego la topologia della rete che ho pensato.

Potete darmi una mano nella configurazione? sopratutto sulla scelta degli ip dmz e lato FW.

Grazie

roddy

Ciao!
Premetto, non ho mai avuto quel ISP e quindi non conosco gli apparati che usa oltre ad eventuali filtri .(Se non usi il router del ISP ma uno tuo posta il modello).

Se l'apparato in questione ti permette di configurare gli IP privati e le subnet mask puoi fare ameno della DMZ, ti servono solo due IP.
In caso fosse indispensabile la DMZ e visto che nel tuo schema usi per la LAN gli IP privati 192.168/16 ti rimangono disponibili i 10/8 e i 172.16/12.

IP DMZ 172.16.0.1/30 o 10.0.0.1/30
IP vs Router 172.16.0.2/30 o 10.0.0.2/30
IP LAN 192.168.1.0/24
Magari posta degli screenshot per capire come gestire la config.

Come mai hai deciso di interporre un Firewall ed isolare la LAN?

crossfire007

@roddy Innanzitutto grazie per la risposta.

Allora è indispensabile usare la dmz. altrimenti dovrei aprire ogni singola porta per ogni servizio.

Ho deciso di mettere un firewall anche per studiarlo visto che sono da poco nel settore e fare esperimenti.

SkyWifi non permette utilizzo, dydns o cambio dei dns. Permette solo di aprire porte o configurare la dmz. Quindi necessito di un apparato che possa gestire almeno una VPN e che permetta di sopperire alle resitrizioni del router sky.

Appena torno a casa ti allego la config del router. Il firewall non l'ho ancora settato.

Domanda stupida. se abilito la dmz sul router, devo spostare tutti i dispositivi connessi fisicamente con ethernet sul firewall?

roddy

@crossfire007 said in Configurazione Firewall con DMZ:

@roddy Innanzitutto grazie per la risposta.

Figurati !

@crossfire007 said in Configurazione Firewall con DMZ:

Ho deciso di mettere un firewall anche per studiarlo visto che sono da poco nel settore e fare esperimenti.

Solo alcuni "consigli", prima di qualsiasi modifica sugli apparati interessati, sempre ma sempre il Backup delle Config, credimi sono dei Salvavita.
Non meno importante è anche dedicare del tempo alla Docs, leggila, scaricala e tienila sottomano.
Il Forum, è pieno di informazioni e Link utili, falle tue.
Se già lo fai, di regola, ti semplifichi la vita.

@crossfire007 said in Configurazione Firewall con DMZ:

Domanda stupida. se abilito la dmz sul router, devo spostare tutti i dispositivi connessi fisicamente con ethernet sul firewall?

Tieni presente che avrai due LAN, una sotto il router ISP e l'altra sotto PFS, non direttamente connesse, sarei quindi graduale prima il dispositivo che usi per la Config.
Per intenderci, le interfacce di amministrazione le raggiungi se ti connetti direttamente al router ISP o ad PFS,
Ovviamente il Wifi rimane un discorso a parte e tutto il discorso è valido se il routerISP non è troppo limitato.
Solo una cosa PFS gira su VM o HFisico e di quante NIC dispone?

sensei-two

Il router di sky non ti permette di impostare l'IP assegnato a pfSense (che in questo caso sarebbe il suo lato WAN) in DMZ? Così non avrai bisogno di aprire porte ogni volta e avrai una LAN gestita da pfsense che teoricamente dovrebbe essere più sicura, anche perché la subnet gestita dal router dell'ISP resterebbe separata e magari la renderai disponible agli ospiti in wifi.
Magari non ho capito bene quello che vorresti fare.

crossfire007

@sensei-two è esattamente quello che volevo fare. Impostare la dmz con un ip.

Non mi è chiaro poi cosa devo impostare sul firewall lato wan. Esempio:

Router sky - IP DMZ 10.10.10.1

WAN FIREWALL - 10.10.10.2 ?

Può andar bene?

crossfire007

@roddy Non mi è chiara la situazione lato LAN del router una volta impostata la dmz VS il firewall.

Il wifi continuerà a funzionare? I device ethernet collegati al router continueranno a funzionare?

sensei-two

@crossfire007

Aspetta.
Se l'indirizzo IP del router sky è 10.10.10.1 (quindi l'IP LAN del router sky, e NON l'indirizzo pubblico che ti viene assegnato dal provider sky) allora la WAN del firewall sarà appunto 10.10.10.2 (ad esempio).
Poi su pfsense dovrai creare la LAN gestista appunto dal firewall stesso che potrà essere tipo 192.168.50.1 (indirizzo LAN di pfsense) su subnet 192.168.50.0/24.
Avresti così in sentesi su pfSense:

WAN = 10.10.10.2 (sarà proprio questo indirizzo da settare in DMZ sul router sky)
LAN = 192.168.50.1 subnet 192.168.50.0/24

Questo ammesso che il router sky abbia in effetti IP LAN 10.10.10.1 e subnet diciamo 10.10.10.0/24

ps: magari se alleghi un immagine (nascondendo l'IP pubblico che ti assegna sky, ammesso che te lo assegni, non so come funziona la tua offerta, potresti essere anche sotto cgnat), posso spiegarti la procedura nei dettagli

sensei-two

@crossfire007

"Non mi è chiara la situazione lato LAN del router una volta impostata la dmz VS il firewall. Il wifi continuerà a funzionare? I device ethernet collegati al router continueranno a funzionare?"

Se ti riferisci al router sky e ai devices collegati ad esso, e non a pfsense,
continuerà tutto a funzionare solo che non comunicheranno con i devices sotto pfsense (in verità volendo si può...), sarà una rete a parte.

Comunque quello che devi fare è abbastanza semplice. In sostanza anche io avevo una rete configurata nello stesso modo, quando dovevo sperimentare con pfsense.