LAN -> DMZ

tt0001

Prezados Colegas,

Boa noite.

Quero saber se alguém pode me ajudar? Pois bem, estou tentando fazer comunicação com minha DMZ, como podem observar as regras no anexo, o que está acontecendo é o seguinte. 

Os hosts da DMZ se comunicam com minha LAN16 porém o inverso não acontece, sabem o porque isso está ocorrendo? A minha ideia é fazer exatamente o contrário, quero que todos os host da LAN16 se comunicam com DMZ e os os hosts da DMZ apenas saiam para WAN, como devo proceder?

Obs: As interfaces estão no mesmo switch.

Obrigado.

```![AcessoDMZ.png](/public/_imported_attachments_/1/AcessoDMZ.png)
![AcessoDMZ.png_thumb](/public/_imported_attachments_/1/AcessoDMZ.png_thumb)

brunopinheiro

• Possui VLAN?
• Esse é o unico gateway para ambas as redes?
• Os hosts da rede LAN16 estão com o gateway configurado?
• O acesso a partir dos hosts da rede LAN16 é feito via IP ou algum dns?

Post aqui o endereçamento de rede de suas redes. Se possível, post aqui a saída do seguinte comando:

netstat -rn

att,

Bruno Pinheiro.

tt0001

Bruno, obrigado pelo retorno…vamos lá, respondendo o seu questionamento segue abaixo.

• Possui VLAN? (Não)
• Esse é o unico gateway para ambas as redes? (Não, Para LAN16 utilizo 172.16.0.1 e para DMZ 172.20.0.1)
• Os hosts da rede LAN16 estão com o gateway configurado? (SIM)
• O acesso a partir dos hosts da rede LAN16 é feito via IP ou algum dns? (VIA IP)

Obrigado!

brunopinheiro

@tt0001:

• Esse é o unico gateway para ambas as redes? (Não, Para LAN16 utilizo 172.16.0.1 e para DMZ 172.20.0.1)

Voce tem um pfsense servindo como gateway para as duas redes (esses dois gateway se referem a mesma maquina), certo?

aguardo,

att,

Bruno Pinheiro

tt0001

Olá Bruno, sim tenho um pfsense servindo como gateway para as duas redes e são da mesma máquina.

brunopinheiro

Entendi, vamos fazer assim, para tentar ajudar melhor precisamos compreender seu cenário. Se você achar cômodo, post aqui os arquivos route.txt, nat.txt, rules.txt. Para isso use os seguintes comandos:

netstat -rn > route.txt

pfctl -sn > nat.txt

pfctl -sr > rules.txt 

abraços.

att,

Bruno Pinheiro.

tt0001

Bruno,

Bom dia.

Antes de postar os arquivos solicitado, me tire uma dúvida. Porque que só nessa interface aparece essa primeira regra de Anti-Lockout? Acredito que seja isso que esteja interferindo. Veja o anexo.

Abraços.

brunopinheiro

Olá colega,

desculpa a demora, correria do trabalho.

A regra informada é criada por padrão na instalação inicial do pfsense. Esta regra é para garantir que você não bloqueie seu próprio acesso (anti lockout). Note que é pass, liberação. Isso é algo passivo, não altera nada. Pode-se ser desabilitado em "System > Advanced > Admin Access > Anti-lockout". Se deseja desabilitar, não esqueça de adicionar a liberação manual de seu acesso ao PFsense.

att,

Bruno Pinheiro

Bigode

Boa tarde,

Iniciei os trabalhos com pfSense a pouco tempo, e estou com um problema parecido com este.

Tenho 4 interfaces de Rede, aonde uma é o Gateway, uma é a rede de servidores (DMZ), e as outras duas são LANs separadas, denominadas de LAN1 e LAN2.

Preciso que a LAN1 tenha acesso a DMZ porem a DMZ não pode acessar as LANs.

Criei diversas regras, inclusive como o colega tt0001 mostrou acima, porem sem nenhum sucesso.

Existe algum outro passo a ser feito antes?
Como está criada esta regra está correta?

Desde já, muito obrigado!