Crear una DMZ
-
Hola,
A ver si puedo explicarme bien y alguien puede darme algunos consejos para crear una DMZ, ya que he leído un montón de documentos pero ya tengo un lío impresionante.
La situación es un servidor pfSense con 5 tarjetas de red:
LAN -> 192.x.x.x = Red interna
WAN -> 172.16.11.x = Acceso internet
OPT1 -> 172.16.12.x = Punto de acceso wireless público
OPT2
OPT3Ahora he creado en OPT3 (hay futuros planes apra OPT2) una nueva red 10.240.142.x para los servidores que serán visibles desde el exterior.
He creado la red y con las reglas completamente abiertas, no soy capaz de hacer un ping a un servidor que hay en la red de OPT3 y ya no sé que hacer más…..
Qué se me escapa?
Espero haber puesto toda la información necesaria. Si alguien tiene alguna idea, se agradece!
Saludos!
-
¡Hola!
Si quieres hacer ping entre las LAN tienes que autorizar específicamente el tráfico ICMP entre ellas.
Por defecto, los ping se van todos por la puerta de enlace principal.
Saludos,
Josep Pujadas
-
Mmmm… Bueno, añado que tampoco puedo acceder via navegador al servodor que está en la DMZ ni nada... No lo veo.
Saludos!
-
¡Hola!
Tienes que dar permisos (reglas) en LAN para ir hacia OPTx …
Saludos,
Josep Pujadas
-
Gracias Josep, pero hize la prueba dejando las reglas en * * * * * * tanto en la LAN com en la DMZ y nada. Es que algo me dejo.
Bueno, yo por defecto ya tengo la LAN con LAN net * * * * *, para que desde ella pueda acceder a todo sin restricción.
Saludos!
-
¡Hola de nuevo!
Pon en LAN por delante de la "por defecto" una con todo de LAN a DMZ … a ver qué ...
Saludos,
Josep Pujadas
-
Nada….
He creado la regla y sigo sin poder ver el servidor desde la LAN. He realizado un ping desde pfSense y en este caso si responden los pings...
No veo que me dejo...
Saludos!
-
Hola xdosil
Yo haría caso a bellera empezaría con los pings para comprobar de paso enrutamientos:WAN (172.16.11.x)
|
|-DMZ (10.240.142.1)
|
LAN (192.x.x.x)El equipo en DMZ debe tener como puerta de enlace la ip del interfaz del pfsense (10.240.142…) O una ruta estatica
El equipo en LAN desde el que tiras el ping debe tener de puerta de enlace la interfaz del pfsense en lan (192...) O una ruta estatica
Luego añades el permitir todo lo que venga desde lan y lo pones la primera regla en el interfaz LAN.
y con eso el ping te debería de llegar, en el momento que te llegue el problema es exclusivamente de reglas de firewall.
Se que es un poco basico pero no será la primera vez que alguno nos olvidamos de cambiar un gateway o crear una regla para volver.
Suerte -
Si, si, soy un cabezón y a veces hay que empezar desde lo más básico para ver realmente de donde viene todo.
A ver si mañana hago la prueba y os comento el resultado. Espero pronto poder yo ayudar a otros en el foro.
Saludos!
-
Ya kaneda ya…. me abriste los ojos. La palabra clave era "puerta de enlace".
Me lié tanto con las reglas del firewall, que no me paré a revisar la configuración de red del servidor, y cuando lo miré, no tenía la puerta de enlace que le tocaba...
Una vez corregido esto, ya ta.... funcionando!
Superhyoerextramegagracias a todos!
Xavi
-
Enhorabuena xavi
no hay como resetear la cabeza y empezar por el principio cuando te quedas atascado.
-
Buf! Ni que lo digas! :D