Ping entre DMZ e LAN
-
Para o ping, só as regras de ICMP são suficientes
-
Amigos, fiz as seguintes regras:
DMZ:
ICMP DMZ net * * * * none
ICMP * * DMZ net * * none
LAN:
ICMP * * LAN net * * none
ICMP LAN net * * * * noneE continua não pingando.
Alguém sabe o pq?
-
Amigos, fiz as seguintes regras:
DMZ:
ICMP DMZ net * * * * none
ICMP * * DMZ net * * none
LAN:
ICMP * * LAN net * * none
ICMP LAN net * * * * noneE continua não pingando.
Alguém sabe o pq?
Pq suas regras ainda estao errada… veja... basta 1 regra apenas em cada rede de ORIGEM....
DMZ:
ICMP DMZ net * * * * noneLAN:
ICMP LAN net * * * * none[]s
-
Amigos, fiz as seguintes regras:
DMZ:
ICMP DMZ net * * * * none
ICMP * * DMZ net * * none
LAN:
ICMP * * LAN net * * none
ICMP LAN net * * * * noneE continua não pingando.
Alguém sabe o pq?
Pq suas regras ainda estao errada… veja... basta 1 regra apenas em cada rede de ORIGEM....
DMZ:
ICMP DMZ net * * * * none
LAN:
ICMP LAN net * * * * none[]s
Mas eu tentei assim também e não funcionou….
Reitero: Tenho um pc ligado a LAN e um PC ligado a DMZ e quero pingar entre eles, de um pro outro, e não consigo. Eu consigo pingar pro IP da LAn e pro da DMZ, mas pra um PC específico, não.
-
Pergunto: Isso pode necessitar alguma regra de NAT?
Não tenho nenhuma regra de NAT.
-
Não tenho nenhuma regra de NAT.
Você desabilitou as regras de nat ou deixou no automatico?
suas maquinas de teste estão com firewall habilitado e por exemplo filtrando ping?
Já monitorou via tcpdump na console/ssh do firewall para indentificar onde o pacote está parando?
-
Não tenho nenhuma regra de NAT.
Você desabilitou as regras de nat ou deixou no automatico?
suas maquinas de teste estão com firewall habilitado e por exemplo filtrando ping?
Já monitorou via tcpdump na console/ssh do firewall para indentificar onde o pacote está parando?
Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.
As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense. Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.
-
Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.
Então tem nat habilitado ;)
O outbound nat automatico faz nat para qualquer interface com gateway definido
As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense.
Não recomendo em hipótese nenhuma desabilitar o firewall da estação local. Já vi várias redes indo para o saco por não ter qualquer proteção na estação de trabalho.
Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.
tcpdump é o proximo passo. debug de verdade, na minha opinião pessoal, se faz na console/ssh.
-
Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.
Então tem nat habilitado ;)
O outbound nat automatico faz nat para qualquer interface com gateway definido
As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense.
Não recomendo em hipótese nenhuma desabilitar o firewall da estação local. Já vi várias redes indo para o saco por não ter qualquer proteção na estação de trabalho.
Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.
tcpdump é o proximo passo. debug de verdade, na minha opinião pessoal, se faz na console/ssh.
Corrigindo: elas estão, sim, como FW habilitado. Claro que eu não desabilitaria, mesmo tendo o FW do pfSense.
Vou testar uns tcpdump e qualquer coisa retorno.
-
Amigos, não sei fazer muito bem tcpdump, mas tive o seguinte resultado inicial.
Abri dois consoles e em um fiz um tcpdump -i placa_rede_lan icmp e no outro o mesmo comando, mas com a placa_rede_dmz.Abri dois prompts em cada computador e comecei a testar os pings.
No computador da LAN (191.1.91.51) fiz o ping pra DMZ (10.1.72.1) e pra máquina dentro dela (72.212).
No primeiro caso, o echo request apareceu no tcpdump da placa_lan, seguido de echo reply.
No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.No computador da DMZ (10.1.72.212) fiz o ping pra LAN (191.1.91.1) e pra máquina dentro dela (91.51)
No primeiro caso, o echo request apareceu no tcpdump da placa_dmz, seguido de echo reply.
No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.Alguém pode me explicar o que isso pode dizer e se preciso testar algo a mais no tcpdump?
-
No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.
Se o request esta saíndo pela interface de destino, significa que o pacote está indo para a estação de destino mas não esta voltado.
se o reply aparece na interface de destino mas não na interface de origem, significa que o pacote esta sem permissão ou pode existir uma regra forçando o trafego para outro gateway -
No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.
Se o request esta saíndo pela interface de destino, significa que o pacote está indo para a estação de destino mas não esta voltado.
se o reply aparece na interface de destino mas não na interface de origem, significa que o pacote esta sem permissão ou pode existir uma regra forçando o trafego para outro gatewayNo caso, Marcelo, os pings todos aparecem só na interface de origem, tanto o request quanto o reply. Entretanto, o ping entre as estações da DMZ e da LAN, vice-versa, aparece os quatro requests tanto na interface de origem como na de destino. Neste caso, o que pode ser?
Não tenho noção, amigos!