Proteger ips publicas web von pfsense-modo co lineal.
-
De nada ;)
No es la única manera de hacerlo, pero creo que es relativamente sencilla, y si ya cuentas con 1 Switch Manejable, y con 1 pfSense funcionando, todo se reduce a "cambiar configuraciones".
Dedícale un rato a la lectura, analiza las distintas alternativas… y luego "vuelves" y planteas las inquietudes que tengas al respecto, que seguro alguno de los compañeros te ayuda ;)
-
Si gracias asi reviso bien como la la DMZ Y LAN.
Gracias brother.
Cordiales saludos -
Me queda una duda ya tengo mas idea de las VLAN etc, pero mi pfsense tiene 2 tarjeta de red el0 y el1, en este caso WAN el0 y LAN el1, entonces si tengo en LAN un segmento trabajando ya, vi que se pueden crear vlan2 y vlan3 apartir de cualquier tarjeta de red, en este caso creo 2 vlan apartir de la tarjeta el1 y se crean y asigno ips de 172.16.2.1 y 172.16.32.1 /16 y ustedes que opinan que en la ultima ponga los servidores publicos que quiero aislar esta bien? Y por otra parte no me afecta que siga la LAN asi, o tendria forzozamente que convertir en vlan1 con el rango actual para que no quite servicios funcionando en ese rango cierto.
Espero sus comentarios.
-
No puedes tener 2 interfaces en el mismo segmento de Red.
Si tienes la LAN con 172.16.2.1, y agregas otra interface en el segmento 172.16.32.1 /16, este ultimo se superpone/solapa con la LAN.
Por otro lado /16 ?? necesitas esas 65534 IP's ?
Si vas a utilizar VLAN's, creas 2, 1 Para la LAN, y otra para la DMZ
Luego "reasignas" la LAN a la VLAN que creaste.
-
Hola ptt
Gracias por comentar, mira actualmente tengo un Router ISP, tomo la salida a internet y lo conecto a mi switch CISCO SG200-50 port Gigabit smart y tomo un puerto numero 2 y lo pongo en mi PF con 2 tarjetas em0 y em1, la primera como WAN y la segunda como LAN, bien actualmente mi lan esta por DHCP a travez de la em1, lo que quiero es proteger ips publicas como la de la WAN ya que 3 de ellos son servidores web y uno ftp.
He leido en muchos post`s de aqui y otros foros que en la em1 por ejemplo; En esa tarjeta o bien sea en la otra (em0 WAN), que de ahi lei se pueden crear vlans o una DMZ para aislar esos servidores publicos y sean protegidos por el PF, ya que actualmente no estan protegidos, y si creo una 2 VLAN Una parala LAN actual y otra para otra LAN donde estaran los servidores web o bien que sea una DMZ, que me recomiendan?. Ya que el objetivo es proteger de ataques DDOS, escaneo de puertos, etc.
Espero de sus comentarios compañeros.
Adjunto mi archivo de como estoy.
-
A grandes rasgos te quedaría de la siguiente manera:
El adaptador "em0" (WAN) es quién tendrá "todas" las IP's Públicas
El adaptador "em1" tendrá las 2 VLAN's (LAN y DMZ)
El Router del ISP lo conectas a la WAN del pfSense
1 Puerto del Switch, configurado como "Trunk" lo conectas a la interface "em1" que tiene las 2 VLAN's configuradas (LAN y DMZ)
Los "Hosts" de la LAN los conectas a los puertos "Access" del Switch que pertenezcan a la VLAN que asignaste/creaste en "em1" para la LAN, y tendrán salida/acceso a internet "NATeados" a través de la IP pública de la WAN
Los "Servers" que quieres "proteger" los conectas a los puertos "Access" del Switch que pertenezcan a la VLAN que asignaste/creaste en "em1" para la DMZ, y el tráfico entrante/saliente irá por las IP's publicas asignadas como VIP
-
Que tal ptt
Buenas tardes, gracias por darme ideas, realize un trazo para " interpretar" lo que tu me comentastes, me gustan plantear graficamente. QUiero entender asi como realize el grafico es como me dices, entonces solo debo configurar el Puerto 1 o 2, o puede ser el uno para que no haya problema y mas facil identificar el puerto "principal", si me equivoco corrijeme por favor.Entonces Configuro el puerto 1 como "Trunk" y este iria conectado a la card em1 que contiene Virtualmente las Vlan
s(LAN y DMZ), despues elijo el rango de puertos 6 por ejemplo si es que quiero poner 6 switchs normales para ampliar mi red de 40 computadores por ejemplo y esos puertos del Switch Cisco los identifico como tipo Access Perteneciente a VLAN10(LAN 172.16.1.0/16 donde mis hosts pc seria 172.16.2, etc….) y La otra VLAN20(DMZ) contendra a los servidores web y asi me imagino que en su interfaz de mi servidor web tiene 2 tarjetas eth0 y eth1 en eth0 Pondria su ip publica y en eth1 la ip del dhcp perteneciene al rango de la Vlan (DMZ 172.16.2.0/16) 172.16.2.2 o .172.16.2.3, 172.16.2.4, etc.......Asi las ips DMZ ( Ips publicas de servidores web) estaran protegidas por el Firewall cierto? que es a esto a lo quiero llegar.
Adjunto Imagen de como imagino lo que me planteaste. Donde me surge duda es que ip privada pondre en la em1 que es de donde colgare las VLANS(LAN Y DMZ) o puede llevar una ip publica o ip privada como 172.16.1.1 como gateway principal para las 2 Vlans. :)
Espero tus comentarios.
Cordiales saludos.
-
Si vas tener 40 Hosts en la LAN, para qué un /16 (65534 IP's) ?
Utiliza un /24
LAN 172.16.1.0/16
DMZ 172.16.2.0/16
NO PUEDES UTILIZAR EL MISMO SEGMENTO DE RED EN 2 INTERFACES DIFERENTES !
Digamos que en la LAN utilizas el segmento 172.16.0.0/24, y en la DMZ 172.16.4.0/24
Entonces, asignarías esos segmentos a las VLAN's en el pfSense
LAN –> em1_vlan10 --> 172.16.0.1/24
DMZ --> em1_vlan20 --> 172.16.4.1/24
El adaptador "em1" NO tendrá ninguna IP (La tienen las VLAN's)
Los Servers de la DMZ NO tendrán la IP pública, la/s IP/s Publica/s las tendrá la WAN del pfSense, y utilizarás "port forward" o "1:1 NAT" para publicar los servicios.
Los Hosts de la LAN, tendrán como GW la IP de dicha interface (172.16.0.1) y los Servers de la DMZ utilizarán IP's en el segmento 172.16.4.1/24 (172.16.4.2, 172.16.4.3..... 172.16.4.254) y tendrán como GW la IP de dicha interface (172.16.4.1)
Luego tendrás que "ver/configurar" la manera en que "NATeas" las IP's privadas de los Servers para que "salgan" por las IP's Publicas adicionales (VIP's) que agregaste/configuraste en la WAN, los "Port Forward" o "1:1 NAT" para que el trafico "ingrese" a los Servers por dichas IP's.
-
Gracias Camarada ptt
Mira el porque ese rango a mi lan 172.16.1.0/16 a 255.255.0.0 es porque asi estaba la red anteriormente y cuando entre a trabajar me encontre con esto y con servicios de fileservers y sistemas que estan asi funcionando, y tendria que mapear otra vez a todas las maquinas, es que un detalle que me falto decir son como 254 pc`s y otras que actualmente tengo funcionando por vpn como 3, el punto es el siguiente quiero dejar mi LAN en ese segmento de red y la DMZ si la pondre en otro segmento como en 172.16.0.1/24Entonces seria LAN –> em1_vlan10 --> 172.16.1.1/16 - usando como GW "Gateway" 172.16.1.1, si lo cambio a 24 puedo segir usando este tipo de ips vdd a lo que lei sobre ips 172.16.1.1-254 en /16 y /24?. Esto para no volver a configurar los servicios en todas las terminales o clientes.
DMZ --> em1_vlan20 --> 172.16.0.1/24 0 172.16.0.1/16 Para que esten en otro segmento. Entonces los servidores de web tendrian el dhcp estatico de la DMZ del rango 172.16.0.2, 172.16.0.3, 172.16.0.4, 172.16.0.5, 172.16.0.6 con Gateway 172.16.0.1 ya que si pongo 172.16.4.1/24 es como si fuera 172.16.1.1/16 ya que estan dentro del mismo segmento verdad?. Por otro lado entre en este tema de aumentar la seguridad de red manteniendo de no aumentar el numero de Tarjetas de Red, es decir con las 2 que tengo, ya que ese es el segundo objetivo lo digo por lo siguiente de NAT.
Tengo entendido que para hacer un "Port forward" solo tengo que apuntar de la ip publica a las ip privada (Que buscare como hacerlo terminando de alcarar las dudas sobre el tema actual) asi con este port forward no ocupo tarjeta de red y si hago una NAT de Ip Publica PF - Ip Privada entonces debere utilizar una Tarjeta de red para este y sis son 4 o 5 ips publicas serias esa misma cantidad de tarjetas o tambien se puede hacer virtualmente? si es asi debo ver ese tema tambien y asi reconfigurar mi PfSense.
Cordiales saludos XD
-
De acuerdo a us ideas amigos, ya tengo creadas las vip es decir en la card wan em0 crie 5 ips publicas, y las dos vlans en la card em1 para asi tenerlas en segmentos diferentes.
Ahora que es mejor hacer port forward o nat para poder acceder desde LAN Y DMZ a las Vips.Cordiales saludos.
