Pfsense como Firewall de Borda

chipbr

colocar todos os ip's validos no seu pfsense e fazer um NAT 1:1 não ajuda?

natioli

Olá LFCavalcanti
Então, o que eu imaginei que poderia funcionar seria: Chegar com o link em uma interface do pfsense. Configurar essa interface com o IP válido da operadora e o gateway da operadora. Colocar outra interface de rede no Pfsense e configurá-la também com um IP válido e ligá-la ao switch onde estão meus servidores com IP's válidos. Depois configurar o gateway dos meus servidores com o IP dessa interface que chegará no switch.

LFCavalcanti

@natioli:

Olá LFCavalcanti
Então, o que eu imaginei que poderia funcionar seria: Chegar com o link em uma interface do pfsense. Configurar essa interface com o IP válido da operadora e o gateway da operadora. Colocar outra interface de rede no Pfsense e configurá-la também com um IP válido e ligá-la ao switch onde estão meus servidores com IP's válidos. Depois configurar o gateway dos meus servidores com o IP dessa interface que chegará no switch.

Olha, alguém me corrija se estiver errado, mas se o Router não é o ponto de acesso(Gateway) entre a sua subrede(Ips Válidos) e o resto da Internet, você não consegue fazer Firewall.

Se ele não for o Gateway, também não faz NAT, então não pode atuar como Router.

Isso se dá pela implementação do protocolo IP, não pelo pfSense. Você poderia fazer o que quer num Mikrotik rodando RouterOS, mas… segurança mesmo é ZERO. Sem o roteador de borda sendo fisicamente a ponte entre a sua rede e a internet, não adianta.

Sendo bem honesto aqui, se você precisa de um Router, só para Firewall e BGP por exemplo, melhor usar o VyOS ou Mikrotik. Se pretende colocar balanceamento de carga para servidores atrás do pfSense ou implementar HA, ai sim.

santello

Firewall transparente é a solução certa pra vc.

LFCavalcanti

@santeLLo:

Firewall transparente é a solução certa pra vc.

Só reforçando que esse tipo de setup tem problemas de segurança. A CISCO por exemplo, desencoraja esse tipo de topologia.

reinaldo.feitosa

Dependendo da sua faixa de ip disponibilizada pelo sua operadora e se tem acesso ao roteador da operadora você pode fazer uma subnet da rede criando um novo gateway no seu pfsense. Tenho uma instalação aqui desta forma, crei junto com a operadora uma subnet no router deles e ai passa tudo pelo pfsense mesmo tento ip válido no próprio servidor.

santello

@LFCavalcanti:

@santeLLo:

Firewall transparente é a solução certa pra vc.

Só reforçando que esse tipo de setup tem problemas de segurança. A CISCO por exemplo, desencoraja esse tipo de topologia.

Poderia citar algumas fontes referente a isso?

natioli

Olá Reinaldo Feitosa

Acho que isso que vc fez é o que eu preciso fazer. Pode me dar mais detalhes de como você implementou essa estrutura?
Obrigado

reinaldo.feitosa

No meu caso a operadora me passou um bloco e ip com mascara (255.255.255.224 27bits). Para resolver dividimos em duas com mascara (255.255.255.240 28bits).
A operadora tem que mudar no router para que os ips vai tudo para o firewall
no meu caso é assim
xxx.xxx.xxx.193 router da operadora
xxx.xxx.xxx.194 pfsense

xxx.xxx.xxx.209-222 rede de servidores atras do firewall (da para usar nat ou o ip fixo no servidor, mas cada um com um ip)

Qualquer rede da para dividir, mas se sua mascara for 255.255.255.248 não tem muito sentido dividir, pois vai ficar com 2 ip em cada rede um router e outro o cliente, não faz sentido.

Se sua mascara for 255.255.255.240 da para fazer duas 255.255.255.248 com 6 ips válidos cada uma.

Isso é TCP/IP nada particular do pfsense.

Espero que com estas dicas você consiga entender a topologia a ser aplicada.

vcamposm31

@natioli deu certo ? nos dê um feedback, tenho interesse nesse cenário ai também..

@santeLLo pode dar mais detalhes sobre esse firewall transparente no pfSense ?

santello

Setup inicial de 3 interfaces, duas em bridge e uma pra gerência.

pode tirar como base esse tutorial:

http://people.pharmacy.purdue.edu/~tarrh/Transparent%20Firewall-Filtering%20Bridge%20-%20pfSense%202.0.2%20By%20William%20Tarrh.pdf

natioli

Olá vcamposm31
Estou fazendo algumas pesquisas para implementar isso. Inicialmente, vou tentar com a operadora para ver se conseguimos dividir nossa rede e fazer o que o Reinaldo Feitosa sugeriu.
Acho que isso irá resolver pra mim. Mas ainda estou com  muitas dúvidas também…

Pode deixar que vou atualizando o post caso ele evolua.

vcamposm31

@santeLLo legal, dei uma olhada.. acho que é a maneira mais fácil deu fazer

@natioli certo legal..

Pessoal o meu cenário é assim

Provedor Rádio IP/PPPoE –-> WAN -- pfSense LAN -- 192.168.0.0/24 gw é a WAN

Dai eles cederam um /29, apontando pro IP da minha WAN no pfSense e pensei no seguinte cenário para que eu possa colocar IPS válidos em estações da LAN.

Provedor Rádio IP/29 ---> IP/PPPoE ---> WAN                            pfSense        LAN DHCP --- 192.168.0.0/24 gw é a WAN
                                                            VIRTUAL IP  xxx/29                              VPS 1 --- xxx/29 - gw ser o Virtual IP
                                                                                                                      VPS 2 --- xxx/29 - gw ser o Virtual IP
                                                                                                                      VPS 1 --- xxx/29 - gw ser o Virtual IP

É possível o cenário acima? É seguro para minha rede 192.168.0.0/24 na LAN ?

Eu conseguiria manter esse ambiente ai controlado ?
Os VPS com os /29 ficariam transparentes ?

O que vocês recomendam ?

vcamposm31

Eu esqueci de mencionar, mais no cenário ai será uma bridge com a WAN e a LAN.