CRIAR DMZ NO PFSENSE
-
Boa tarde pessoal
Gostaria da ajudas dos jedai para configurar uma DMZ no pfsense para um ip da lan é possivel ?
abs
Souza Linux
-
Gostaria da ajudas dos jedai para configurar uma DMZ no pfsense para um ip da lan é possivel ?
Configurar um ip da LAN em outra REDE não fica legal, é melhor você subir uma terceira interface no firewall e configurar o servidor em outra faixa de rede.
-
Gostaria da ajudas dos jedai para configurar uma DMZ no pfsense para um ip da lan é possivel ?
Configurar um ip da LAN em outra REDE não fica legal, é melhor você subir uma terceira interface no firewall e configurar o servidor em outra faixa de rede.
Isso mesmo. Questão básica de segurança! Crackers adoram um website. Se um deles achar um buraco ali, com o Servidor na mesma rede, seu firewall vai pro espaço…
Melhor prevenir do que remediar. 8) -
uma pergunta só que fora do contexto, ao meu ver quanto menos serviços em um firewall melhor correto? E seguro deixar o DHCP nele também pois hoje eu deixo ele em outro servidor mas agora como vou usar o pfSense + Squid + Captive Portal com 2 redes LAN acho que vai facilitar mais deixar o DHCP no pfSense mesmo, o que acham?
-
Sim, pode deixar o dhcp no pfsense. Configura ele só nas interfaces que de fato voce precisa.
-
uma pergunta só que fora do contexto, ao meu ver quanto menos serviços em um firewall melhor correto?
Conforme os colegas já lhe responderam… isso tudo é muito relativo!
Veja que o "ideal" é deixar serviços de borda, na borda. E serviços de core de rede, na rede. Em outras palavras, você fará o serviço de roteamento num hardware de borda, e serviço de autenticação de usuários (PDC de rede) num hardware de core.
O marcelloc já respondeu sua pergunta... você pode deixar o pfSense fazendo papel de DHCP Server da sua LAN sem nenhum problema (apenas limite as interfaces com as quais ele vai trabalhar). Contudo, se o teu cenário computacional tem um servidor AD, por exemplo, geralmente os sysadmins preferem integrar o serviço de DHCP ao AD (assim conseguem facilmente amarrar o usuário logado na rede a estação que ele usa ou usou). Procure sempre avaliar as necessidades e expectativas de cada cenário (não existem respostas únicas e padrões em infraestrutura de TI)!
Outro detalhe importante é não saturar o hardware… Tem muita gente por aqui querendo rodar OpenVPN + Squid + SquidGuard + Snort + Captive Portal num hardware com processador i686 e 1GB de RAM. Obviamente que este tipo de coisas vai trazer problemas!
Abraços!
Jack