Pfsense como Firewall de Borda
-
colocar todos os ip's validos no seu pfsense e fazer um NAT 1:1 não ajuda?
-
Olá LFCavalcanti
Então, o que eu imaginei que poderia funcionar seria: Chegar com o link em uma interface do pfsense. Configurar essa interface com o IP válido da operadora e o gateway da operadora. Colocar outra interface de rede no Pfsense e configurá-la também com um IP válido e ligá-la ao switch onde estão meus servidores com IP's válidos. Depois configurar o gateway dos meus servidores com o IP dessa interface que chegará no switch. -
Olá LFCavalcanti
Então, o que eu imaginei que poderia funcionar seria: Chegar com o link em uma interface do pfsense. Configurar essa interface com o IP válido da operadora e o gateway da operadora. Colocar outra interface de rede no Pfsense e configurá-la também com um IP válido e ligá-la ao switch onde estão meus servidores com IP's válidos. Depois configurar o gateway dos meus servidores com o IP dessa interface que chegará no switch.Olha, alguém me corrija se estiver errado, mas se o Router não é o ponto de acesso(Gateway) entre a sua subrede(Ips Válidos) e o resto da Internet, você não consegue fazer Firewall.
Se ele não for o Gateway, também não faz NAT, então não pode atuar como Router.
Isso se dá pela implementação do protocolo IP, não pelo pfSense. Você poderia fazer o que quer num Mikrotik rodando RouterOS, mas… segurança mesmo é ZERO. Sem o roteador de borda sendo fisicamente a ponte entre a sua rede e a internet, não adianta.
Sendo bem honesto aqui, se você precisa de um Router, só para Firewall e BGP por exemplo, melhor usar o VyOS ou Mikrotik. Se pretende colocar balanceamento de carga para servidores atrás do pfSense ou implementar HA, ai sim.
-
Firewall transparente é a solução certa pra vc.
-
Firewall transparente é a solução certa pra vc.
Só reforçando que esse tipo de setup tem problemas de segurança. A CISCO por exemplo, desencoraja esse tipo de topologia.
-
Dependendo da sua faixa de ip disponibilizada pelo sua operadora e se tem acesso ao roteador da operadora você pode fazer uma subnet da rede criando um novo gateway no seu pfsense. Tenho uma instalação aqui desta forma, crei junto com a operadora uma subnet no router deles e ai passa tudo pelo pfsense mesmo tento ip válido no próprio servidor.
-
Firewall transparente é a solução certa pra vc.
Só reforçando que esse tipo de setup tem problemas de segurança. A CISCO por exemplo, desencoraja esse tipo de topologia.
Poderia citar algumas fontes referente a isso?
-
Olá Reinaldo Feitosa
Acho que isso que vc fez é o que eu preciso fazer. Pode me dar mais detalhes de como você implementou essa estrutura?
Obrigado -
No meu caso a operadora me passou um bloco e ip com mascara (255.255.255.224 27bits). Para resolver dividimos em duas com mascara (255.255.255.240 28bits).
A operadora tem que mudar no router para que os ips vai tudo para o firewall
no meu caso é assim
xxx.xxx.xxx.193 router da operadora
xxx.xxx.xxx.194 pfsensexxx.xxx.xxx.209-222 rede de servidores atras do firewall (da para usar nat ou o ip fixo no servidor, mas cada um com um ip)
Qualquer rede da para dividir, mas se sua mascara for 255.255.255.248 não tem muito sentido dividir, pois vai ficar com 2 ip em cada rede um router e outro o cliente, não faz sentido.
Se sua mascara for 255.255.255.240 da para fazer duas 255.255.255.248 com 6 ips válidos cada uma.
Isso é TCP/IP nada particular do pfsense.
Espero que com estas dicas você consiga entender a topologia a ser aplicada.
-
-
Setup inicial de 3 interfaces, duas em bridge e uma pra gerência.
pode tirar como base esse tutorial:
-
Olá vcamposm31
Estou fazendo algumas pesquisas para implementar isso. Inicialmente, vou tentar com a operadora para ver se conseguimos dividir nossa rede e fazer o que o Reinaldo Feitosa sugeriu.
Acho que isso irá resolver pra mim. Mas ainda estou com muitas dúvidas também…Pode deixar que vou atualizando o post caso ele evolua.
-
@santeLLo legal, dei uma olhada.. acho que é a maneira mais fácil deu fazer
@natioli certo legal..
Pessoal o meu cenário é assim
Provedor Rádio IP/PPPoE –-> WAN -- pfSense LAN -- 192.168.0.0/24 gw é a WAN
Dai eles cederam um /29, apontando pro IP da minha WAN no pfSense e pensei no seguinte cenário para que eu possa colocar IPS válidos em estações da LAN.
Provedor Rádio IP/29 ---> IP/PPPoE ---> WAN pfSense LAN DHCP --- 192.168.0.0/24 gw é a WAN
VIRTUAL IP xxx/29 VPS 1 --- xxx/29 - gw ser o Virtual IP
VPS 2 --- xxx/29 - gw ser o Virtual IP
VPS 1 --- xxx/29 - gw ser o Virtual IPÉ possível o cenário acima? É seguro para minha rede 192.168.0.0/24 na LAN ?
Eu conseguiria manter esse ambiente ai controlado ?
Os VPS com os /29 ficariam transparentes ?O que vocês recomendam ?
-
Eu esqueci de mencionar, mais no cenário ai será uma bridge com a WAN e a LAN.