Bridge WAN-LAN
-
Olá sou iniciante no PfSense. Estou tentando criar uma bridge entra minha wan e lan.
Eu tenho 3 interfaces WAN, LAN e DMZ.
Anteriormente havia configurado:
WAN: 10.17.10.2/19 GW: 10.17.0.1
LAN: 192.168.16.1/24
DMZ: 192.168.15.1/24
Isso funciona perfeitamente, consigo acessar internet nas maquinas clientes e tudo conforme as regras que estabeleci.
Mas agora queria colocar a LAN na mesma faixa 10.17.0.0/19. A solução que pensei foi fazer uma bridge entre WAN e LAN.
Já pesquisei muito e resumidamente o que eu fiz foi:_To setup pfsense as a transparent firewall / bridge with 2 interfaces, follow these steps from a fresh install:
1. Disable NAT (but not the firewall). See http://doc.pfsense.org/index.php/How_can_I_completely_disable_NAT%3F#Disable_NAT
2. VERY IMPORTANT: As mentioned at http://forum.pfsense.org/index.php?topic=30653.0, go to the 'System -> Advanced -> System Tunables' and set net.link.bridge.pfil_bridge from 'default' to '1'
3. Bridge WAN and LAN by going to 'Interfaces → Assign → Bridges'
4. Create OPT iface and assign the bridge to it by 'Interfaces → Assign → Network Port'
5. Add an IP address to the bridge interface; this IP is the one you will use to access the firewall long term
6. Add allow all rules to ALL firewall interfaces to avoid being locked out. Ifaces OPT, WAN, and LAN
7. Set WAN and LAN interface type to 'none'. (Under 'Interfaces' in GUI)
8. Disable DHCP server
9. The firewall should now be able to be accessed from all ifaces via the IP on the bridge from step 5
10. Carefully modify your firewall rules to be more restrictive. DNS, DHCP, etc._Após o procedimento o pfsense não tem mais acesso a internet, logo sei pela mensagem "Unable to check for updates". Só o passo 8 que pra mim é irrelevante porque não uso DHCP no PfSense.
Tentei setar como GW da nova interface atribuída a bridge: 10.17.0.1, o mesmo que funcionava para WAN. E deixei a interface como ip estático 10.17.10.3/19, mas não funcionou.
Nenhum tutorial que encontrei fala sobre o GW que devo usar, estou fazendo isso certo?
Estou há alguns dias com esse problema, se alguém puder me acrescentar algo, desde já agradeço.
Vlw. -
Buenas!
Antes de mais nada, seja bem-vindo ao fórum e ao pfSense.
Em relação a sua pergunta, realmente não entendi sua 'intenção'. Porque você iria querer deixar em bridge sua LAN sua WAN?
A navegação deve ter parado justamente porque agora não há mais como efetuar NAT AUTOMÁTICO DE SAÍDA de pacotes entre as redes…
Abraços!
Jack -
Olá,
Eu concordo com o Jackl, não estou entendendo o motivo de instalar o PFSense desta maneira na sua topologia de rede.
Se ele for um "firewall transparente" de que adianta? Qualquer usuário com conhecimentos intermediários de rede pode facilmente contornar o PFSense e acessar a rede da outra interface.
-
Olá, obrigado pelas respostas e pelas boas vindas.
Desculpa por não consegui me expressar direito. Vou tentar explicar melhor:
Existe uma rede (A) 10.0.0.0/8, que me fornece uma faixa (B) 10.17.0.0/19.
Eu consigo a partir da A conectar a B e vice-versa, sem restrições.
Porém queria criar algumas regras de acesso da rede A para B. E continuar livre de B para A.
Ae surgiu a ideia da implementação do PfSense.
A–----pfsense------B
Só que não posso tornar minha rede B privada, no caso minha lan. Por isso a ideia da bridge transparante. Eu devo continuar com meus ips "públicos".A princípio eu consegui, no meu caso uso VMware e li que era necessário ativar o "promiscuous mode" no vswitch para funcionar. Dito e feito, era isso que faltava.
Agora por exemplo continuo pingando de B para A. E de A para B conforme minhas regras.Como disse sou iniciante, tanto em redes como pfsense, se tiver falando ou fazendo merda por favor me corrijam. Caso haja solução melhor ou mais simples agradeço sugestões.
Vlw,
Abraços. -
Existe uma rede (A) 10.0.0.0/8, que me fornece uma faixa (B) 10.17.0.0/19.
Você quer dize que dentro da 10.0.0.0/8 você pode usar somente a faixa 10.17.0.0/19?
A princípio eu consegui, no meu caso uso VMware e li que era necessário ativar o "promiscuous mode" no vswitch para funcionar. Dito e feito, era isso que faltava.
O promiscuous mode transforma o switch da vm em hub, isso pode significar problemas no futuro.
Existem quantas outras vms neste servidor? -
Você quer dize que dentro da 10.0.0.0/8 você pode usar somente a faixa 10.17.0.0/19?
Exato. O range que recebo é 10.17.0.1 - 10.17.31.254
O promiscuous mode transforma o switch da vm em hub, isso pode significar problemas no futuro.
Existem quantas outras vms neste servidor?Então no caso estou isolado só com uma vm na lan e a vm com pfsense, em testes. Mas estou estudando para implementar para 8 servidores e mais ou menos 30 vms.
Eu também estou com o pé atrás quanto a segurança por promiscuous mode Marcello. É assim mesmo? Há outras maneiras?
Obrigado. -
Eu também estou com o pé atrás quanto a segurança por promiscuous mode Marcello. É assim mesmo? Há outras maneiras?
Não sei, alguns procedimentos do pfsense em vm só funcionam assim.
-
mateusvtt,
Se entendi direito, honestamente, acho que no seu caso a melhor solução seria uma Switch de camada 3 fazendo trunk entre 2 VLANs…
Usar o pfSense para ser apenas bridge é como atirar com um canhão num beija-flor… Ainda mais virtualizado em "promiscuo mode" (do ponto de vista de performance e segurança).
Abraços!
Jack -
atirar com um canhão num beija-flor…
Melhor definição do dia!
Posso usar essa JackL?
Agora sério…
Realmente, se você está usando o PFSense como um "roteador" de camada 3, melhor usar um Switch Gerenciavel com camada 3. -
-
Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlw -
atirar com um canhão num beija-flor…
Melhor definição do dia!
"Tadin" do beija-flor… Se eu tivesse um canhão, atiraria numa mosca. Nunca num beija-flor. :o
Brincadeira, tá? ;D
O Jack fugiu bucólicamente da frase padrão. Endosso como frase do dia. :D -
Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlwAmigo, você está confundindo conceitos…
Pelo que você está explicando, a topologia está assim:
REDE 1 ---> PFSENSE ---> REDE 2Se você usará regras de Firewall para restringir as conexões de uma rede a outra, no seu caso não é uma Bridge e sim um Gateway, pois haverá NAT ativo.
Senhores colegas de fórum, sei que a explicação está "adaptada", não me crucifixem, só quis ajudar o colega no entendimento do conceito.
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Se o Próprio PFSense for o Gateway de Internet, basta configurar a Internet como vocÊ quiser e uma interface para a ligação com a outra rede, depois você cria as regras de Firewall permitindo apenas os acessos que deseja entre as redes.
Agora, se o Gateway de Internet estiver na outra rede ou for outro servidor na sua rede, a configuração do NAT e das regras de Firewall será um pouco mais complexa. -
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo. -
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos. -
Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.Concordo que a segmentação é de longe a melhor opção, mas se o "dono" da rede entregou assim, na minha cabeça a unica forma de usar um firewall nesta configuração é via bridge.
-
Primeiramente obrigado LFCavalcanti e marcelloc pelas respostas e a vontade de ajudar.
Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.A situação foi bem resumida:
@marcelloc:Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.
-
Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.
A mascara de rede /8 é aplicada nas estações de toda a rede????
-
Sua rede está segmentada.
O firewall em bridge neste caso vai te ajudar a não ter que segmentar seu /19 em redes menores.