Problemas con la DMZ
-
Tengo instalado pfSense 2.1-BETA0 built on Sun Oct 14 18:11:22 EDT 2012 FreeBSD 8.3-RELEASE-p4 ,
con 4 interfaces de red, configurado de la siguiente manera1.- WAN : ip publica GW = ip de mi router ADSL(bridge) es la gateway por defecto
2.- DMZ : IP=192.168.25.2 RED:192.168.25.0/24 GW=ninguno
3.- LAN 1: IP=192.168.26.1 RED:192.168.26.0/24
4.- LAN 2: IP=192.168.86.1 RED:192.168.86.0/24Las reglas de la LAN1 y similar para la LAN 2
ID Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4* * * * * * none Acceso al inter y DMZAplique las configuraciones recomendadas en la DMZ
ID Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4ICMP * * * * * none Reponder a los Ping
IPv4 * DMZ net * LAN net * * none Denegar el acceso de la DMZ a la LAN
IPv4 * DMZ net * * * * none Acceso a todo desde la DMZObs: Los servidores en la DMZ tienen como Puerta de enlace a 192.168.25.1(FORTINET) y no a 192.168.25.2(pfsense)
Pruebas iniciales : cambie las puertas de enlace con a 192.168.25.2 y puedo acceder a mis servidores desde las LAN.Problema: Con las puertas de enlace originales (192.168.25.1) como puedo hacer para acceder a la dmz?
Los servidores hacen VPN con el fortinet y no es posible cambiar las GW.
Gracias por cualquier tipo de ayuda -
Esto de cualquier cosa IPv4 en protocolo debe ser nuevo en la 2.1, ¿no? Interesante que esté pero tus reglas son, a mi juicio, extremadamente abiertas.
Bueno, concretemos tu consulta… Si tus servidores tienen como puerta 192.168.25.1 es normal que no tengas comunicación. La razón es bien simple. Vas pero no vuelves porque todo lo que no sea de la subred sale (o intenta salir) por la puerta indicada.
Ante esto tienes dos soluciones:
1. NAT Outbound de cada LAN hacia la DMZ, con lo que todas las peticiones tendrán como origen la IP de la interfase DMZ de pfSense. Es una solución pero tiene la pega de que no te enterarás de qué equipo LAN está haciendo la petición al servidor.
2. Rutas estáticas en tus servidores, en las que se diga que las peticiones de las LAN tienen que ir por 192.168.25.2. Com supongo no tendrás muchos servidores pienso que es la mejor opción.
3. Policy-routing en Fortinet. No sé si es posible. Algunos enrutadores son capaces de "rebotar" tráfico a otras IPs.
Saludos,
Josep Pujadas-Jubany
-
LO que tienes es lo que llaman "Ruteo asimetrico" :), interesante definicion. Los paquetes salen por un lado pero regresan por otro .. malo malo.
Lo recomendable como dice bellera es hacer nat o ruteo que es mas elegante.
Saludos