[Resolvido] Regra liberando forward entre 2 placas do PfSense
-
Boa Noite,
Hoje tenho um Firewall com linux, onde tem uma WAN, uma LAN e uma placa ligada a um roteador de um link MPLS com filiais.
Esta funcionando.Mas quero trocar esta firewall da matriz por um Pfsense.
Fiz o diagrama em anexo para exemplificar o cenário.
Tenho uma placa OPT1 no pfsense ligando ao roteador do link MPLS.
Mas não estou conseguindo criar uma regra para permitir o trafego da rede da filial com a rede LAN da Matriz.Adicionei a rota para rede da filial no pfsense, e criei regras liberando o trafego na interface OPT1, colocando Source=LAN NET e Dest=Rede da fiilal
e outra regra como Dest=LAN NET e Source=Rede Filial
Mas não funcionou.Como devo configurar o pfsense para permitir comunicação do computador da filial com uma servidor na minha LAN?
Grato,
Julio
![Diagrama Firewall.png](/public/imported_attachments/1/Diagrama Firewall.png)
![Diagrama Firewall.png_thumb](/public/imported_attachments/1/Diagrama Firewall.png_thumb) -
Boa Noite Julio,
Primeiro é claro bem vindo ao pfSense. :)
O diagrama facilitou muito o entendimento.
O pfSense trata as regras onde a comunicação é iniciada, portanto, na OPT1 coloque regras onde a origem é a rede que esta chegando pela opt1(rede filial) e nas regras da lan todas as regras inciada por ips na lan net.
Por padrão, o nat do pfsense vem no modo automático. Para você conseguir simplesmente rotear os pacotes entre uma rede e outra, você precisa passar o nat para manual(firewall -> nat -> outbond) e criar as regras apenas para os pacotes que vão sair pela wan por exemplo.
Acredito que com essas duas modificações, você já tenha um ambiente funcional.
Vale sempre a dica de habilitar o ssh, logar na console e acompanhar o trafego via tcpdump. Como você já tem experiência com linux, não deve encontrar dificuldades.
att,
Marcello Coutinho -
Bom Dia Marcelo,
Obrigado pelo retorno.
Então se eu fizer uma regra na OPT1, conforme o print em anexo, os computadores da filial já devem conseguir acessar o servidor da matriz?
Ou devo fazer uma regra na interface LAN, com Source=LAN NET e Dest=172.20.0.0/16 ?Quanto ao NAT, essa alteração para manual, serve apenas para os port forward que eu fizer a minha WAN para um IP na LAN certo?
Ele não influencia a comunicação entra as redes Filial(OPT1) e Matriz(LAN) né?Att,
Julio
-
Você não precisa se preocupar com a regra "de retorno", o keep state do firewall já resolve isso pra você.
Quando você passar o nat para manual, vai ver que ele inclui automaticamente uma regra para wan.
Se você não desabilitar o nat entre as redes internas, os pacotes sempre chegarão com o ip do outro firewall e não da rede da matriz ou filial. -
Boa Noite Marcelo,
Só para agradecer, esta funcionando 100%.
Estou gostando muito do PfSense.
Att,
Julio