Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas con la DMZ

    Scheduled Pinned Locked Moved Español
    3 Posts 3 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      Josesito
      last edited by

      Tengo instalado pfSense 2.1-BETA0 built on Sun Oct 14 18:11:22 EDT 2012 FreeBSD 8.3-RELEASE-p4 ,
      con 4 interfaces de red, configurado de la siguiente manera

      1.- WAN : ip publica GW = ip de mi router ADSL(bridge) es la gateway por defecto
      2.- DMZ : IP=192.168.25.2 RED:192.168.25.0/24  GW=ninguno
      3.- LAN 1: IP=192.168.26.1 RED:192.168.26.0/24
      4.- LAN 2: IP=192.168.86.1 RED:192.168.86.0/24

      Las reglas de la LAN1 y similar para la LAN 2
      ID    Proto   Source  Port  Destination Port  Gateway  Queue  Schedule  Description
                IPv4*  *  *          *       *      *           none               Acceso al inter y DMZ

      Aplique las configuraciones recomendadas en la DMZ
      ID  Proto  Source  Port  Destination   Port   Gateway  Queue  Schedule  Description 
      IPv4ICMP *         * *           *    *          none     Reponder a los Ping
              IPv4 * DMZ net * LAN net   *    *          none           Denegar el acceso de la DMZ a la LAN
              IPv4 * DMZ net * *           *    *          none           Acceso a todo desde la DMZ

      Obs: Los servidores en la DMZ tienen como Puerta de enlace a  192.168.25.1(FORTINET) y no a 192.168.25.2(pfsense)
      Pruebas iniciales : cambie las puertas de enlace con a 192.168.25.2 y puedo acceder a mis servidores desde las LAN.

      Problema: Con las puertas de enlace originales (192.168.25.1) como puedo hacer para acceder a la dmz?
      Los servidores hacen VPN con el fortinet y no es posible cambiar las GW.
      Gracias por cualquier tipo de ayuda

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        Esto de cualquier cosa IPv4 en protocolo debe ser nuevo en la 2.1, ¿no? Interesante que esté pero tus reglas son, a mi juicio, extremadamente abiertas.

        Bueno, concretemos tu consulta… Si tus servidores tienen como puerta 192.168.25.1 es normal que no tengas comunicación. La razón es bien simple. Vas pero no vuelves porque todo lo que no sea de la subred sale (o intenta salir) por la puerta indicada.

        Ante esto tienes dos soluciones:

        1. NAT Outbound de cada LAN hacia la DMZ, con lo que todas las peticiones tendrán como origen la IP de la interfase DMZ de pfSense. Es una solución pero tiene la pega de que no te enterarás de qué equipo LAN está haciendo la petición al servidor.

        2. Rutas estáticas en tus servidores, en las que se diga que las peticiones de las LAN tienen que ir por 192.168.25.2. Com supongo no tendrás muchos servidores pienso que es la mejor opción.

        3. Policy-routing en Fortinet. No sé si es posible. Algunos enrutadores son capaces de "rebotar" tráfico a otras IPs.

        Saludos,

        Josep Pujadas-Jubany

        1 Reply Last reply Reply Quote 0
        • A
          acriollo
          last edited by

          LO que tienes es lo que llaman "Ruteo asimetrico" :), interesante definicion.  Los paquetes salen por un lado pero regresan por otro .. malo malo.

          Lo recomendable como dice bellera es hacer nat  o ruteo que es mas elegante.

          Saludos

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.