Bridge WAN-LAN
-
Você quer dize que dentro da 10.0.0.0/8 você pode usar somente a faixa 10.17.0.0/19?
Exato. O range que recebo é 10.17.0.1 - 10.17.31.254
O promiscuous mode transforma o switch da vm em hub, isso pode significar problemas no futuro.
Existem quantas outras vms neste servidor?Então no caso estou isolado só com uma vm na lan e a vm com pfsense, em testes. Mas estou estudando para implementar para 8 servidores e mais ou menos 30 vms.
Eu também estou com o pé atrás quanto a segurança por promiscuous mode Marcello. É assim mesmo? Há outras maneiras?
Obrigado. -
Eu também estou com o pé atrás quanto a segurança por promiscuous mode Marcello. É assim mesmo? Há outras maneiras?
Não sei, alguns procedimentos do pfsense em vm só funcionam assim.
-
mateusvtt,
Se entendi direito, honestamente, acho que no seu caso a melhor solução seria uma Switch de camada 3 fazendo trunk entre 2 VLANs…
Usar o pfSense para ser apenas bridge é como atirar com um canhão num beija-flor… Ainda mais virtualizado em "promiscuo mode" (do ponto de vista de performance e segurança).
Abraços!
Jack -
atirar com um canhão num beija-flor…
Melhor definição do dia!
Posso usar essa JackL?
Agora sério…
Realmente, se você está usando o PFSense como um "roteador" de camada 3, melhor usar um Switch Gerenciavel com camada 3. -
-
Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlw -
atirar com um canhão num beija-flor…
Melhor definição do dia!
"Tadin" do beija-flor… Se eu tivesse um canhão, atiraria numa mosca. Nunca num beija-flor. :o
Brincadeira, tá? ;D
O Jack fugiu bucólicamente da frase padrão. Endosso como frase do dia. :D -
Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlwAmigo, você está confundindo conceitos…
Pelo que você está explicando, a topologia está assim:
REDE 1 ---> PFSENSE ---> REDE 2Se você usará regras de Firewall para restringir as conexões de uma rede a outra, no seu caso não é uma Bridge e sim um Gateway, pois haverá NAT ativo.
Senhores colegas de fórum, sei que a explicação está "adaptada", não me crucifixem, só quis ajudar o colega no entendimento do conceito.
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Se o Próprio PFSense for o Gateway de Internet, basta configurar a Internet como vocÊ quiser e uma interface para a ligação com a outra rede, depois você cria as regras de Firewall permitindo apenas os acessos que deseja entre as redes.
Agora, se o Gateway de Internet estiver na outra rede ou for outro servidor na sua rede, a configuração do NAT e das regras de Firewall será um pouco mais complexa. -
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo. -
O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos. -
Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.Concordo que a segmentação é de longe a melhor opção, mas se o "dono" da rede entregou assim, na minha cabeça a unica forma de usar um firewall nesta configuração é via bridge.
-
Primeiramente obrigado LFCavalcanti e marcelloc pelas respostas e a vontade de ajudar.
Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.A situação foi bem resumida:
@marcelloc:Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.
-
Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.
A mascara de rede /8 é aplicada nas estações de toda a rede????
-
Sua rede está segmentada.
O firewall em bridge neste caso vai te ajudar a não ter que segmentar seu /19 em redes menores.
