Problemas con LAN y DMZ
-
Saludos a todos en el foro, soy nuevo utilizando pfsense y hasta los momentos ha sido genial, sin embargo se me ha presentado un problema enorme, tengo 3 interfaces configuradas: WAN, LAN (192.168.40.0/24) y DMZ (172.16.20.0/24) que acabo de integrar al servidor, hasta los momento todo el trafico entre WAN y LAN corre perfecto filtro contenido y acceso sin problemas con el squid3 y el dansguardian.
El problema se me presenta es con la DMZ, en esa subred estoy disponiendo 2 servidores, uno donde se encontrara una aplicación web que va a solicitar conexión a una Base de Datos en Postgress que se encuentra en la LAN, y el otro servidor contendrá el servidor de correos, alli es justamente mi problema. Revisando las reglas del firewall puedo inclusive desde la LAN hacer ping, ssh y hasta levantar acceso http a DMZ, de DMZ a LAN para las peticiones a la BD o de correo no puedo, intento hacer ping a alguna host de lan y no se permite, pero solo me responde el gateway de la LAN si le hago ping.
Entiendo que la lógica de una DMZ es que no permita trafico siquiera hasta LAN, pero necesito levantar esos accesos, no se si me pueden orientar como hacerlo en pfsense, sigo leyendo y revisando en distintas pág web pero no me ha funcionado lo que he encontrado.
-
Revisa que tengas permitido los puertos de postgres y correo, seguro eso es algún detalle en las reglas. Postealas y te ayudamos mas.
-
Como dice Juancho, hay que agregar en la interface de la DMZ el trafico por puertos y direcciones destinos del trafico que deseas permitir.
Recordar que las reglas se crean en la interface que genera el trafico
saludos
-
Gracias juancho y acriollo por sus comentarios, les indico que estuve revisando las reglas, aqui les muestro una captura de pantalla de las reglas que tengo en la interfaz dmz. Solo deje la regla del postgress de momento para probar si funciona, el servidor que esta actuando como servidor de aplicacion se encuentra en la sub-red de la DMZ (172.16..) y donde esta la Base de datos se encuentra en la sub-red LAN (192.168..); tengo una regla especificando que exista una comunicacion entre esas maquinas por el puerto de postgress (5432), pero no se logra realizar.
Como dije soy nuevo tanto usando la herramienta como en el área y agradecería los consejos o la ayuda que me puedan proporcionar, gracias.
Revisa que tengas permitido los puertos de postgres y correo, seguro eso es algún detalle en las reglas. Postealas y te ayudamos mas.
 -
Saludos mi estimado fijese algo esa reglas que necesita son conjunta por un lado los servidores en dmz deberia tener la posibilidad de llegar a donde quieran es decir subred lan, opt1,opt2 o si desea personalizarlo lo hace como esta en su captura por puerto especifico etc.. Ahora bien usted indica que el servidor donde esta la base de datos esta en la subred lan si esto es asi recordando "la regla de oro que toda regla que se realice en el firewall se hace desde su origen hacia su destino" tiene usted colocada en lan la regla para el acceso desde la lan de ese servidor que posee la base de datos hacia la dmz al servidor de aplicaciones??? Interesante seria ver si esta sino creo que ese seria su problema actual .
Estamos a su orden
-
Gracias por tu observación amnarl!, se me paso por alto agregar las reglas que estan en LAN, aquí están.
Como pueden ver puse una regla un poco exagerada pero a modo de prueba para ver si pasaba alguna trafico entre ellas, por lo que me permite como dije SSH, hacerle ping a cualquier servidor en DMZ, pero no se que me faltara, lo mas seguro es un tontería y siendo novato pero agradezco cualquier ayuda que puedan darme.
 -
Nos puedes informar que error te da cuando intentas conectarte? porque puede ser algo en la configuracion de postgres. En el pg_hba.conf definir que redes pueden conectarse al servidor. revisa tambien los log de postgres por no dejar y postealos.. tambien
PORT 5432 – Information
Port Number: 5432
TCP / UDP: TCP
Delivery: Yes
Protocol / Name: postgres
Port Description: postgres.’postgres database server’activa el udp tambien en las reglas para descartar
-
Puerta de enlace de los equipos ?
-
La puerta d enlace es el proxy… en la LAN es 192.168..97 y por parte de la DMZ es 172.16..1; ambas son interfaces en el proxy ACRIOLLO
-
Firewall en el servidor del postgress ? ACL en la base de datos ?
-
Viendo las reglas, te sugiero lo siguiente:
la regla que tiene: 172.16.x.3:5432 –> 192.168.x.17 colocar en lugar de 192.168.x.17 [LanNet]
Por otro lado, tienes una regla que dice: DMZ net –--> !Lan Net, por lo que estás negando "!" LanNet, no creo que esta regla tenga mucho sentido :D ya que estás permitiendo todo el tráfico a cualquier parte, menos a LanNet.
Saludos
-
Por otro lado, creo que estás usando mal la DMZ, por ejemplo, tienes permiso de la LAN a la DMZ global, por lo que podrías recibir un ataque interno, yo colocaría por ejemplo:
LAN Net –-> DMZ_Server_DB Port 5432
LAN Net ---> DMZ_Server_http Port 80 y 443 (Puedes definir un Alias con ServiceWeb y colocar los dos puertos.
LAN Net ---> DMZ_Server_mail Port 25/110 o por TLS 587/993 igualmente puedes hacer un Alias.
ADMINS ---> DMZ_Net Port ssh ADM_Net puede ser un Alias de las IPs/VLAN de los Administradores.
BackUp ---> DMZ_Net Port XXX El puerto por donde funcione tu sistema de Backup de Cinta (si es que tienes)Lo mismo aplica desde la DMZ a la LAN,
DMZ_Server_DB ---> LAN Net Port 5432 ....
*
*
*Saludos