Bridge WAN-LAN

JackL

mateusvtt,

Se entendi direito, honestamente, acho que no seu caso a melhor solução seria uma Switch de camada 3 fazendo trunk entre 2 VLANs…

Usar o pfSense para ser apenas bridge é como atirar com um canhão num beija-flor… Ainda mais virtualizado em "promiscuo mode" (do ponto de vista de performance e segurança).

Abraços!
Jack

LFCavalcanti

@JackL:

atirar com um canhão num beija-flor…

Melhor definição do dia!

Posso usar essa JackL?

Agora sério…
Realmente, se você está usando o PFSense como um "roteador" de camada 3, melhor usar um Switch Gerenciavel com camada 3.

JackL

@LFCavalcanti:

Melhor definição do dia!
Posso usar essa JackL?

A vontade…  ;D

Abraços!
Jack

mateusvtt

Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlw

johnnybe

@LFCavalcanti:

@JackL:

atirar com um canhão num beija-flor…

Melhor definição do dia!

"Tadin" do beija-flor… Se eu tivesse um canhão, atiraria numa mosca. Nunca num beija-flor. :o
Brincadeira, tá?  ;D
O Jack fugiu bucólicamente da frase padrão. Endosso como frase do dia.  :D

LFCavalcanti

@mateusvtt:

Galera eu não quero usá-lo apenas como uma bridge, mas sim como um firewall bridge.
Eu preciso de um firewall setorial para estabelecer regras de acesso.
Eu não gerencio a outra rede, somente a 10.17.0.0/19.
E não quero mudar os ips das minhas maquinas, para que as maquinas da outra rede, as continue enxergando. Por isso a bridge para passar direto passando pelo meu firewall.
vlw

Amigo, você está confundindo conceitos…

Pelo que você está explicando, a topologia está assim:
REDE 1 ---> PFSENSE ---> REDE 2

Se você usará regras de Firewall para restringir as conexões de uma rede a outra, no seu caso não é uma Bridge e sim um Gateway, pois haverá NAT ativo.

Senhores colegas de fórum, sei que a explicação está "adaptada", não me crucifixem, só quis ajudar o colega no entendimento do conceito.

O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?
Se o Próprio PFSense for o Gateway de Internet, basta configurar a Internet como vocÊ quiser e uma interface para a ligação com a outra rede, depois você cria as regras de Firewall permitindo apenas os acessos que deseja entre as redes.
Agora, se o Gateway de Internet estiver na outra rede ou for outro servidor na sua rede, a configuração do NAT e das regras de Firewall será um pouco mais complexa.

marcelloc

@LFCavalcanti:

O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?

Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.

LFCavalcanti

@marcelloc:

@LFCavalcanti:

O PFSense pode servir para isso tranquilamente, mas ai vem um problema de topologia, quem será o Gateway de Internet?

Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.

Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.

marcelloc

@LFCavalcanti:

Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.

Concordo que a segmentação é de longe a melhor opção, mas se o "dono" da rede entregou assim, na minha cabeça a unica forma de usar um firewall nesta configuração é via bridge.

mateusvtt

Primeiramente obrigado LFCavalcanti e marcelloc pelas respostas e a vontade de ajudar.

@LFCavalcanti:

Nesse caso faz menos sentido ainda. Você tem duas redes, que são "separadas" mas tem a mesma subrede, mas você quer uma Brigde entre elas… pra mim não faz muito sentido essa topologia...
O certo mesmo era mudar a subrede de pelo menos um dos "segmentos", ai sim justifica o uso de um Firewall e pode-se ter alguma segurança nessa separação em segmentos.

A situação foi bem resumida:
@marcelloc:

Até onde entendi da descrição da rede do mateusvtt, a faixa dele é a 10.17.0.0/19, mas como a rede é a mesma a mascara continua sendo o /8 e o gateway provavelmente está fora desta faixa gerenciada por ele.
Neste caso a única forma de filtrar o trafego entre as duas redes é com bridge mesmo.

Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.

marcelloc

@mateusvtt:

Existe uma rede nacional, a /8, que fornece várias faixas de rede para filiais no país. A que eu recebo é 10.17.0.0/19. Eu não tenho poder de alterar nada.

A mascara de rede /8 é aplicada nas estações de toda a rede????

marcelloc

Sua rede está segmentada.

O firewall em bridge neste caso vai te ajudar a não ter que segmentar seu /19 em redes menores.