Ping entre DMZ e LAN

jonathacardoso

Colegas!

Tenho o PfSense, com uma rede LAN (191.1.91.1) e uma DMZ (10.1.72.1), com computadores ligados nelas. Consigo pingar de um pc na LAN para o ip da DMZ, e vice-versa. Agora, se eu quiser pingar um computador ligado à DMZ partindo da LAN não consigo.

Mostro a vocês minhas regras.

Abraços!
![Sem título.jpg](/public/imported_attachments/1/Sem título.jpg)
![Sem título.jpg_thumb](/public/imported_attachments/1/Sem título.jpg_thumb)

3.jpg_thumb

sosmicro

@jonathacardoso:

Tenho o PfSense, com uma rede LAN (191.1.91.1) e uma DMZ (10.1.72.1), com computadores ligados nelas. Consigo pingar de um pc na LAN para o ip da DMZ, e vice-versa. Agora, se eu quiser pingar um computador ligado à DMZ partindo da LAN não consigo.

Jonathacardoso…

Vc criou a regra na LAN para o proto ICMP da lan para any, mas não criou na DMZ liberando o ICMP para any...
A regra deve ser criada na rede de onde se origina o trafego. no seu caso nas 2... LAN e DMZ

[]s

jonathacardoso

Então, no caso, eu tenho que criar quatro regras:
-> Na LAN para any
-> NA LAN liberando ICMP para any
-> Na DMZ para any
-> Na DMZ liberando ICMP para any
É isso?

Assim vou poder pingar entre máquinas da LAN para máquinas da DMZ e vice-versa?

marcelloc

Para o ping, só as regras de ICMP são suficientes

jonathacardoso

Amigos, fiz as seguintes regras:

DMZ:
ICMP DMZ net * * * * none
ICMP * * DMZ net * * none
LAN:
ICMP * * LAN net * * none
ICMP LAN net * * * * none

E continua não pingando.

Alguém sabe o pq?

sosmicro

@jonathacardoso:

Amigos, fiz as seguintes regras:

DMZ:
ICMP DMZ net * * * * none
ICMP * * DMZ net * * none
LAN:
ICMP * * LAN net * * none
ICMP LAN net * * * * none

E continua não pingando.

Alguém sabe o pq?

Pq suas regras ainda estao errada… veja... basta 1 regra apenas em cada rede de ORIGEM....

DMZ:
ICMP DMZ net * * * * none

LAN:
ICMP LAN net * * * * none

[]s

jonathacardoso

@sosmicro:

@jonathacardoso:

Amigos, fiz as seguintes regras:

DMZ:
ICMP DMZ net * * * * none
ICMP * * DMZ net * * none
LAN:
ICMP * * LAN net * * none
ICMP LAN net * * * * none

E continua não pingando.

Alguém sabe o pq?

Pq suas regras ainda estao errada… veja... basta 1 regra apenas em cada rede de ORIGEM....

DMZ:
ICMP DMZ net * * * * none

LAN:
ICMP LAN net * * * * none

[]s

Mas eu tentei assim também e não funcionou….

Reitero: Tenho um pc ligado a LAN e um PC ligado a DMZ e quero pingar entre eles, de um pro outro, e não consigo. Eu consigo pingar pro IP da LAn e pro da DMZ, mas pra um PC específico, não.

jonathacardoso

Pergunto: Isso pode necessitar alguma regra de NAT?

Não tenho nenhuma regra de NAT.

marcelloc

@jonathacardoso:

Não tenho nenhuma regra de NAT.

Você desabilitou as regras de nat ou deixou no automatico?

suas maquinas de teste estão com firewall habilitado e por exemplo filtrando ping?

Já monitorou via tcpdump na console/ssh do firewall para indentificar onde o pacote está parando?

jonathacardoso

@marcelloc:

@jonathacardoso:

Não tenho nenhuma regra de NAT.

Você desabilitou as regras de nat ou deixou no automatico?

suas maquinas de teste estão com firewall habilitado e por exemplo filtrando ping?

Já monitorou via tcpdump na console/ssh do firewall para indentificar onde o pacote está parando?

Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.

As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense. Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.

marcelloc

@jonathacardoso:

Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.

Então tem nat habilitado ;)

O outbound nat automatico faz nat para qualquer interface com gateway definido

@jonathacardoso:

As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense.

Não recomendo em hipótese nenhuma desabilitar o firewall da estação local. Já vi várias redes indo para o saco por não ter qualquer proteção na estação de trabalho.

@jonathacardoso:

Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.

tcpdump é o proximo passo. debug de verdade, na minha opinião pessoal, se faz na console/ssh.

jonathacardoso

@marcelloc:

@jonathacardoso:

Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.

Então tem nat habilitado ;)

O outbound nat automatico faz nat para qualquer interface com gateway definido

@jonathacardoso:

As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense.

Não recomendo em hipótese nenhuma desabilitar o firewall da estação local. Já vi várias redes indo para o saco por não ter qualquer proteção na estação de trabalho.

@jonathacardoso:

Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.

tcpdump é o proximo passo. debug de verdade, na minha opinião pessoal, se faz na console/ssh.

Corrigindo: elas estão, sim, como FW habilitado. Claro que eu não desabilitaria, mesmo tendo o FW do pfSense.

Vou testar uns tcpdump e qualquer coisa retorno.

jonathacardoso

Amigos, não sei fazer muito bem tcpdump, mas tive o seguinte resultado inicial.
Abri dois consoles e em um fiz um tcpdump -i placa_rede_lan icmp e no outro o mesmo comando, mas com a placa_rede_dmz.

Abri dois prompts em cada computador e comecei a testar os pings.

No computador da LAN (191.1.91.51) fiz o ping pra DMZ (10.1.72.1) e pra máquina dentro dela (72.212).
No primeiro caso, o echo request apareceu no tcpdump da placa_lan, seguido de echo reply.
No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

No computador da DMZ (10.1.72.212) fiz o ping pra LAN (191.1.91.1) e pra máquina dentro dela (91.51)
No primeiro caso, o echo request apareceu no tcpdump da placa_dmz, seguido de echo reply.
No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

Alguém pode me explicar o que isso pode dizer e se preciso testar algo a mais no tcpdump?

marcelloc

@jonathacardoso:

No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

Se o request esta saíndo pela interface de destino, significa que o pacote está indo para a estação de destino mas não esta voltado.
se o reply aparece na interface de destino mas não na interface de origem, significa que o pacote esta sem permissão ou pode existir uma regra forçando o trafego para outro gateway

jonathacardoso

@marcelloc:

@jonathacardoso:

No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

Se o request esta saíndo pela interface de destino, significa que o pacote está indo para a estação de destino mas não esta voltado.
se o reply aparece na interface de destino mas não na interface de origem, significa que o pacote esta sem permissão ou pode existir uma regra forçando o trafego para outro gateway

No caso, Marcelo, os pings todos aparecem só na interface de origem, tanto o request quanto o reply. Entretanto, o ping entre as estações da DMZ e da LAN, vice-versa, aparece os quatro requests tanto na interface de origem como na de destino. Neste caso, o que pode ser?

Não tenho noção, amigos!