Problemas con PFSense y Servidor Web

GustavoCam · Aug 4, 2009, 4:44 PM

En primera instancia teniemos un Servidor WEB, DNS y Correo en equipo con dos paginas WEB, pero a raiz de multiples ataques decidimos, montar un Firewall. Consultando nos dimos cuenta de PFSense, pero tenemos un problema y es que las paginas no nos cargan. Hemos estudiado el Documento de Albert Marquez en el cual especifica muy bien el tema de reenvio de puertos a una Zona DMZ y hasta el momento nada. Quisiera saber si hay alguna persona que me pueda colaborar. Gracias

bellera · Aug 4, 2009, 8:40 PM

¡Hola!

Sin explicar bien qué topología de red tienes es difícil poder decirte dónde puedes tener el problema.

En principio todo se reduce a un NAT Port Forward, http://www.bellera.cat/josep/pfsense/nat_cs.html#forward y a su correspondiente regla en WAN.

Suele ser bastante habitual "olvidarse" de hacer lo mismo en el router ADSL contra la WAN de pfSense.

Saludos,

Josep Pujadas

GustavoCam · Aug 4, 2009, 9:22 PM

Buenas tardes Bellera, he seguido el tutorial que tienes al pie de la letra como el de A Marquez, tengo el siguiente problema. La estructura que se tenia es:

INternet –--- Servidor Web y DNS ----- LAN

La cual funciona perfectamente nuestras paginas y la navegacion interna de LAN a traves de Squid, la cual ha sido atacada constantemente.

La estructura que se monto:

Internet ---- PF Sence----Servidor Web y DNS Atraves de Una DMZ

![](http://D:\Mis Documentos\Mis imágenes\Red.png)

GustavoCam · Aug 4, 2009, 9:37 PM

Quisiera Saber como te envio los pantallasos de las configuraciones para que me las revises por favor

Gracias

GustavoCam · Aug 5, 2009, 12:30 PM

Buenos Dias señor Bellera, quisiera saber si me puede colaborar con el proposito de poder conseguir instalar el PFSense con con un servidor Web en una zona DMZ, he estudiado su guia al igual qu ela de Albert Marquez y hasta el momento no me funciona, con lo de reenvio de quisiera mandarle toda la configuracion por medio de un correo pero no lo se. Quisiera mirar la posibilidad de que me colabora dandome su correo para poderle enviar esa informacion y mirar si estoy bien en la configuracion.

Gustavo Adolfo Camacho
gcamacho2002@hotmail.com

GustavoCam · Aug 5, 2009, 1:43 PM

–--------
---------| D M Z | 192.168.3.2
| ----------
--------- ---------- / -----------
| Router | --------------- | pfSense | --------------| L A N | 192.168.1.X
--------- ---------- \ -----------
190.14.244.69 Wan: 190.14.244.70 | ----------
DMZ: 192.168.3.1 --------| WLAN | 192.168.2.X
LAN: 192.168.1.1 ----------
WLan: 192.168.2.1

GustavoCam · Aug 5, 2009, 5:11 PM

Hola Josep Pujadas lo que tengo configurado

GustavoCam · Aug 8, 2009, 4:05 PM

Hola Señor Josept, por favor me puedes colaborar

Gustavo

kew · Aug 9, 2009, 2:56 PM

Has configurado las reglas del firewall….?

Saludos.

GustavoCam · Aug 10, 2009, 4:23 PM

Buenos Dias, las reglas son las siguientes:

Gracias

Gustavo

GustavoCam · Aug 13, 2009, 7:33 PM

No veo a nadie que me pueda colaborar, ya que es algo importante para mi como proyecto.

Gracias

periko · Aug 15, 2009, 11:41 PM

Hola GustavoCam.

Vamos a ver si te sirve esto, estuve leyendo este post e hice unas pruebas aqui en mi red local.

Internet <–-> Router/FW(Pfsense) NIC-A<---> Lan A 192.168.50.0/24
NIC-B<---> Lan B 192.168.49.0/24

Cuando des de alta la NIC-B no le pongas Gateway.

Cada NIC del pfsense esta conectada a un switch y no hay comunicacion entre ellos solo atraves de sus respectivas NIC's, como si fueran oficinas distintas, mi DMZ es la NIC-B ahi detras tengo un servervido web escuchando solo en el puerto 80 con IP 192.168.49.150.

Vamos entendiendo algo, por default, pfsense permite el trafico de la LAN-A sin problemas, entonces si deseamos que todos los equipos que estan dentras de la LAN-A no puedan accesar a todos los equipos de la DMZ, debemos colocar una regla en la LAN antes de la regla que trae por default, la regla debe ser:

Bloquear toda la comunicacion que llegue a la LAN-A y que vaya dirigida a la red de la LAN-B (192.168.49.0/24).
Y debe estar antes de la regla que trae por default, de lo contrario nunca se va a tocar esta regla.

Una vez hecha, esperas unos segundos y pruebas, ping, telnet, etc, etc. No debe recibir repuesta de ninguna maquina que este detras de la LAN-B(DMZ).

De ahi vamos a permitir el trafico desde la WAN hacia el server de la DMZ.

2do, vamos cambiando el puerto que tiene pfsense para su administracion, yo le puse el 249 para poder usar el 80 en mi DMZ. Una vez hecho esto lo pruebas.

Hacemos una regla(PortForward) en la WAN, que todo trafico externo via TCP que llegue a el puerto 80 a la WAN lo mande a el IP de la DMZ 192.168.49.150 puerto 80.

Esto genera una regla en el Firewall, donde permite este trafico desde la WAN hasta la DMZ.

Para probar necesitas un conexion extra para esto, le haces un telnet a tu IP publico puerto 80 debe de a ver respuesta sin problemas, de ahi tratas de accesar ese servidor atraves de un navegador para corroborar todo.

Ya con esto debe estar operando tu DMZ web server.

Ya si deseas ser mas estricto con tu DMZ, entoces a empiezas a abrir puertos en la LAN-B(DMZ) para que tus servidores puedan actualizarse solamente, todo lo demas debe estar bloqueado, tu LAN-A no debe poder llegar a tu LAN-B.

Espero te sirva de algo esto, saludos!!!

GustavoCam · Aug 18, 2009, 5:07 PM

BUenos Dias Periko, Excelente tu repuesta y muy bien explicado, todo eso es funciona perfecto, ya que se lo probre y funciona con la confuguracion que se tiene, pero si utilizas por ejemplo desde tu navegador http://xx.xx.xx.xx o http://xx.xx.xx.xx:80 pero en el momento que empleas www.xxxxxx.com que son las paginas que son unas de las paginas que tiene el servidor web no carga absolutamente nada. Para probar si es nuestro servidor WEB lo coloco directo sin PF Sense y de una me cargan nuestras paginas. De resto de cosas funciona perfecto.

Te agradezco Periko, estare atento a tu ayuda

GustavoCam

periko · Aug 18, 2009, 7:58 PM

Hola GustavoCam.

A ver GustavoCam, al parecer el problema es que cuando accesan via web usando http://tudominio.com o http://tudominio.com:80 funciona sin problemas, correcto?

Y cuando lo hacen usando www.tudominio.com o www.tudominio.com:80 no hace nada?

Esto lo hace con los navegadores mas usados(explorer/firefox/opera/safari)?

Estoy bien o estoy mal?

GustavoCam · Aug 18, 2009, 8:53 PM

Primero Gracias por responder tan rapido Periko, algo asi pero es con la IP publica

Cuando le doy http://IP_Publica o http://IP_Publica:80 funciona pero si le doy
http://Mi_Dominio.com o www.Mi_dominio.com no funciona.

Si el servidor lo coloco sin el pfsense funciona con cualquiera.

GustavoCam

periko · Aug 18, 2009, 11:04 PM

Aqui al parecer ya esta mas relacionado con el dns.

Ahi mismo en el pfsense, cuando ejecutas:

host -a tudominio.com
host -a www.tudominio.com

Si lo resuelve?
Que sale?

GustavoCam · Aug 19, 2009, 7:42 PM

Buenas Tardes Periko

Primero Muchas Gracias por tu respuestas

estos son los pantallasos con los comandos que me diste desde el equipo pfsense:

Y creo que esta resolviendo bien internamente, no se es cuando se haga desde afuera

Gracias

GustavoCam

periko · Aug 19, 2009, 8:14 PM

Si trata desde fuera, aqui los problemas son con tus clientes, entonces desde fuera debes probar, animo!!!

GustavoCam · Aug 26, 2009, 1:06 PM

Gracias Periko, pero no olviden que si coloco el servidor web directo sin el equipo PFsense funcionan bien las paginas y apenas coloco el pfsense dejan de cargar y redirigirlas al servidor web.

Gracias

GustavoCam

periko · Aug 26, 2009, 8:02 PM

GustavoCam hola.

Por eso, las pruebas son para saber si algo esta bloqueando la comunicacion.
Si el dns esta recibiendo los paquetes de tu clientes, etc, etc.

Mira si deseas con toda confianza, este es mi correo: perikillo@gmail.com, tengo el gtalk podemos hablar y a lo mejor lo podemos arreglar.

Saludos.