Ayuda con firewall de pfsense
-
alguna idea del problema
-
https://doc.pfsense.org/index.php/Firewall_Rule_Basics
https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting
-
gracias por la informacion mira estas son las reglas de la lan y de la dmz con esto deberia poder dar ping de la lan a la dmz y viceversa agradeceria tu ayuda
-
Revisaste los "puntos" que mencionan en la Lista: https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting
-
Si haces Ping desde un Host de la DMZ, a la IP de la Interface "DMZ" del pfSense, obtienes respuesta ?
-
Si haces Ping desde un Host de la DMZ, a la IP de la Interface "LAN" del pfSense, obtienes respuesta ?
-
Los hosts de la "LAN" y de la "DMZ" tienen como GW la IP de las respectivas interfaces del pfSense ?
-
El Firewall de los Hosts de la "LAN" y de la "DMZ" permite "Ping" desde "otro" segmento de Red ?
-
-
Bueno disculpa la demora en responder revise los puntos https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting me parecio extraño lo referente a los estados ahi me muestra cuando doy ping de la dmz esto en la imagen estados donde la interfaz la pone lo0 sin idea porque por los demás puntos no da ping estando en la dmz a la interfaz d la dmz ni a la interfaz de la lan el host d la dmz es un debian sin firewall y el de la lan es un windows con firewall de softeare tumbado no se que es lo que pasa deberia dar ping perfectamente pero sigo trabado ahi
-
una pregunta ppt yo tengo declarado en pfsense un solo gw el de la wan mi pregunta es tendria que declararle a la dmz en el pfsense un gw y lo mismo a la lan todo esto en el propio pfsense?
-
Si desde un "Host" de la "DMZ" NO obitenes respuesta cuando "haces Ping" a la IP de la interface "DMZ" del pfSense, menos vas a "obtenerla" de un Host de la LAN….
Por favor adjunta un Diagrama/Esquema claro, y detallado, incluyendo las IP` y detallando de "dónde a dónde" "tienes resspuesta" y de "dónde a dónde" no tienes respeuesta"
Y, No, no necesitas "GW" en las interfaces "tipo LAN" la "tabla de ruteo" del pfSense se encarga de "manejar" (Rutear) el tráfico entre interfaces/segmentos de red "directamente conectados a el"
-
bueno desde la lan si le doy ping a la interfaz de la lan desde afuera wan me permite entrar a la administracion con su regla ahora te adjuntos las configuraciones el esquema de la red es wan internet dmz los servidores y lan area local esta son todas las configuraciones todo lo demas no lo eh tocado saludos
![aliases all.jpg](/public/imported_attachments/1/aliases all.jpg)
![aliases all.jpg_thumb](/public/imported_attachments/1/aliases all.jpg_thumb)
![interface dmz.jpg](/public/imported_attachments/1/interface dmz.jpg)
![interface dmz.jpg_thumb](/public/imported_attachments/1/interface dmz.jpg_thumb)
![interface lan.jpg](/public/imported_attachments/1/interface lan.jpg)
![interface lan.jpg_thumb](/public/imported_attachments/1/interface lan.jpg_thumb)
![interface wan.jpg](/public/imported_attachments/1/interface wan.jpg)
![interface wan.jpg_thumb](/public/imported_attachments/1/interface wan.jpg_thumb)
![general setup.jpg](/public/imported_attachments/1/general setup.jpg)
![general setup.jpg_thumb](/public/imported_attachments/1/general setup.jpg_thumb)
![rules dmz.jpg](/public/imported_attachments/1/rules dmz.jpg)
![rules dmz.jpg_thumb](/public/imported_attachments/1/rules dmz.jpg_thumb)
![rules lan.jpg](/public/imported_attachments/1/rules lan.jpg)
![rules lan.jpg_thumb](/public/imported_attachments/1/rules lan.jpg_thumb)
![rules wan.jpg](/public/imported_attachments/1/rules wan.jpg)
![rules wan.jpg_thumb](/public/imported_attachments/1/rules wan.jpg_thumb) -
Por favor, no lo tomes a mal, pero Tu configuración es un Desastre ! así No va a Funcionar !
Tienes la LAN en el Segmento 192.130.1.0/24 con IP 192.130.1.7 (por qué la .7 ? y no la .1 o la .254, que así es mas "ordenado")
Tienes la DMZ en el Segmento 10.0.10.3/32 lo que equivale a esa UNICA IP ? Por qué/para qué así, y para "completar" tienes allí el "Debian" con IP 192.130.1.4 (en el Segmento de Red de la LAN) ! Cómo esperas que eso Funcione ??? El "Debian" debería estar en el MISMO Segmento de Red que la Interface en la que se encuentra "conectado"
Por otra parte, No sabía que eras Finlandés http://bgp.he.net/ip/192.130.1.7 No deberías estar utilizando ese Rango en tu Red !
-
jajaja tenia razon /32 en la dmz la 192.130.1.4 es un fw en debian no la maquina que me referia sino el dns que si esta en el rango de la dmz lo de 7 es para cambiar un poco despues de volverme loko tantas noches lo ip no me eran significativos la 192.130.1.4 es un fw para llevar mis configuraciones de shorewall ah pfsense no soy finlandes soy cubano y muchas gracias por tu atencion ya puedo dar ping en la dmz
-
ahora continuo con el problema de la lan doy ping a la interfaz de la lan pero no doy ping a la pc de la dmz de la dmz doy ping a la interfaz de la dmz pero no doy ping a la lan en los registro de log me aparece como q esta dandole paso pero no doy ping te muestro el log de la dmz y de la lan y de la lan no muestra mucho el log por ejemplo estoy dando ping y no me sale que me esta denegando ni aceptando nada solo me muestra el log cuando es en la misma lan
![log dmz.jpg](/public/imported_attachments/1/log dmz.jpg)
![log dmz.jpg_thumb](/public/imported_attachments/1/log dmz.jpg_thumb)
![log lan.jpg](/public/imported_attachments/1/log lan.jpg)
![log lan.jpg_thumb](/public/imported_attachments/1/log lan.jpg_thumb) -
Las maquinas aceptan trafico ICMP ?
-
si aceptan trafico icmp
-
Insisto:
Por favor adjunta un Diagrama/Esquema claro, y detallado, incluyendo las IP` y detallando de "dónde a dónde" "tienes resspuesta" y de "dónde a dónde" no tienes respeuesta"
Ninguno de los aquí presentes (excepto Tú) ha visto/conoce tu red, si No podemos "entenderla" No podremos ayudarte/orientarte.
Además del digarma/esquema "claro, completo y detallado" indica la configuracion de "Red" de cada Host (el que está en la DMZ y el de la LAN) que ineterviene en la/s prueba/s. Y capturas de pantalla de las Reglas de FW de las Interfaces del pfSense de la manera en que se encuentran en el momento de Realizar la/s prueba/s.
El "windows" (IP 192.130.1.41) que IP tiene como GW/Puerta de Enlace ?
Si haces un "tracert" desde ese Host (windows) al Host al que quieres llegar en la DMZ, qué obtienes ?
-
la lan tiene 192.130.1.0/24
la dmz tiene 10.0.10.0/24
la wan tiene 172.16.100.0/23host de la dmz 10.0.10.2 gw 10.0.10.3 interfaz del pfsense de la dmz
host de la lan 192.130.1.41 gw 192.130.1.7 interfaz del pfsense de la lanlas reglas del firewall son que se den ping de una red a la otra
desde la dmz doy ping a la interfaz de la dmz 10.0.10.3 y doy ping a la interfaz d la lan 192.130.1.7 pero no doy ping al host de la lan 192.130.1.7 windows tiene desactivado el cortafuego de software
desde la lan doy ping a la interfaz de la lan 192.130.1.7 pero no doy ping a la interfaz de la dmz 10.0.10.3 ni al host de la dmz 10.0.10.2te muestro las reglas y la configuracion del host de la lan
lo que me llama la atencion es que en los log no recoje los ping que hago no se si tengo que activar algo en las reglas active el log
pero por alguna razon no lo hace
no se si seria mejor volver instalar de cero de nuevo
me eh quedado sin idea agradeceria tu ayuda![rules dmz.jpg](/public/imported_attachments/1/rules dmz.jpg)
![rules dmz.jpg_thumb](/public/imported_attachments/1/rules dmz.jpg_thumb)
![rules lan.jpg](/public/imported_attachments/1/rules lan.jpg)
![rules lan.jpg_thumb](/public/imported_attachments/1/rules lan.jpg_thumb)
![host lan.jpg](/public/imported_attachments/1/host lan.jpg)
![host lan.jpg_thumb](/public/imported_attachments/1/host lan.jpg_thumb) -
Podrías intentar "relajando" un poco mas las Reglas (no las limites a ICMP)
Vuelve a leer la "Documentación" acerca de "Firewall" "Reglas" etc…
Revisa Todo, punto por punto, que debe funcionar.
He realizado algunas pruebas (no dispongo de tiempo para armar una "maqueta" y NO pienso utilizar el pfSense de "producción" para hacer pruebas) ;)
Y no tengo ningún problema "haciendo ping" entre hosts ubicados en diferentes interfaces (PC Con W7 en LAN, IP 192.168.1.10 - Tablet con Android en W311U, IP 192.168.0.100).
En las imágenes adjuntas lo puedes ver: