Bridge WAN-LAN
-
Olá, obrigado pelas respostas e pelas boas vindas.
Desculpa por não consegui me expressar direito. Vou tentar explicar melhor:
Existe uma rede (A) 10.0.0.0/8, que me fornece uma faixa (B) 10.17.0.0/19.
Eu consigo a partir da A conectar a B e vice-versa, sem restrições.
Porém queria criar algumas regras de acesso da rede A para B. E continuar livre de B para A.
Ae surgiu a ideia da implementação do PfSense.
A–----pfsense------B
Só que não posso tornar minha rede B privada, no caso minha lan. Por isso a ideia da bridge transparante. Eu devo continuar com meus ips "públicos".A princípio eu consegui, no meu caso uso VMware e li que era necessário ativar o "promiscuous mode" no vswitch para funcionar. Dito e feito, era isso que faltava.
Agora por exemplo continuo pingando de B para A. E de A para B conforme minhas regras.Como disse sou iniciante, tanto em redes como pfsense, se tiver falando ou fazendo merda por favor me corrijam. Caso haja solução melhor ou mais simples agradeço sugestões.
Vlw,
Abraços. -
Existe uma rede (A) 10.0.0.0/8, que me fornece uma faixa (B) 10.17.0.0/19.
Você quer dize que dentro da 10.0.0.0/8 você pode usar somente a faixa 10.17.0.0/19?
A princípio eu consegui, no meu caso uso VMware e li que era necessário ativar o "promiscuous mode" no vswitch para funcionar. Dito e feito, era isso que faltava.
O promiscuous mode transforma o switch da vm em hub, isso pode significar problemas no futuro.
Existem quantas outras vms neste servidor? -
Você quer dize que dentro da 10.0.0.0/8 você pode usar somente a faixa 10.17.0.0/19?
Exato. O range que recebo é 10.17.0.1 - 10.17.31.254
O promiscuous mode transforma o switch da vm em hub, isso pode significar problemas no futuro.
Existem quantas outras vms neste servidor?Então no caso estou isolado só com uma vm na lan e a vm com pfsense, em testes. Mas estou estudando para implementar para 8 servidores e mais ou menos 30 vms.
Eu também estou com o pé atrás quanto a segurança por promiscuous mode Marcello. É assim mesmo? Há outras maneiras?
Obrigado. -
Eu também estou com o pé atrás quanto a segurança por promiscuous mode Marcello. É assim mesmo? Há outras maneiras?
Não sei, alguns procedimentos do pfsense em vm só funcionam assim.
-
mateusvtt,
Se entendi direito, honestamente, acho que no seu caso a melhor solução seria uma Switch de camada 3 fazendo trunk entre 2 VLANs…
Usar o pfSense para ser apenas bridge é como atirar com um canhão num beija-flor… Ainda mais virtualizado em "promiscuo mode" (do ponto de vista de performance e segurança).
Abraços!
Jack -
atirar com um canhão num beija-flor…
Melhor definição do dia!
Posso usar essa JackL?
Agora sério…
Realmente, se você está usando o PFSense como um "roteador" de camada 3, melhor usar um Switch Gerenciavel com camada 3. -
-
Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlw -
atirar com um canhão num beija-flor…
Melhor definição do dia!
"Tadin" do beija-flor… Se eu tivesse um canhão, atiraria numa mosca. Nunca num beija-flor. :o
Brincadeira, tá? ;D
O Jack fugiu bucólicamente da frase padrão. Endosso como frase do dia. :D -
Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlwAmigo, você está confundindo conceitos…
Pelo que você está explicando, a topologia está assim:
REDE 1 ---> PFSENSE ---> REDE 2Se você usará regras de Firewall para restringir as conexões de uma rede a outra, no seu caso não é uma Bridge e sim um Gateway, pois haverá NAT ativo.
Senhores colegas de fórum, sei que a explicação está "adaptada", não me crucifixem, só quis ajudar o colega no entendimento do conceito.
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Se o Próprio PFSense for o Gateway de Internet, basta configurar a Internet como vocÊ quiser e uma interface para a ligação com a outra rede, depois você cria as regras de Firewall permitindo apenas os acessos que deseja entre as redes.
Agora, se o Gateway de Internet estiver na outra rede ou for outro servidor na sua rede, a configuração do NAT e das regras de Firewall será um pouco mais complexa. -
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo. -
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos. -
Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.Concordo que a segmentação é de longe a melhor opção, mas se o "dono" da rede entregou assim, na minha cabeça a unica forma de usar um firewall nesta configuração é via bridge.
-
Primeiramente obrigado LFCavalcanti e marcelloc pelas respostas e a vontade de ajudar.
Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.A situação foi bem resumida:
@marcelloc:Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.
-
Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.
A mascara de rede /8 é aplicada nas estações de toda a rede????
-
Sua rede está segmentada.
O firewall em bridge neste caso vai te ajudar a não ter que segmentar seu /19 em redes menores.
