Nat su dmz
-
Salve
Sono al mio primo post, quindi perdonate se faccio domande banali o che hanno già avuto risposta.Sto cercando di costruire la mia la proteggendola da un pfsense.
La mia lan non è banalissima, ma tant'è…
Per semplificare la situazione, direi che nella mia rete è composta dalla sezione LAN (10.48.0.0/22), WAN (37.207.168.x/28) e DMZ (192.168.0.0/24).
Sulla DMZ ho come unica macchina un mail server, che deve anche essere pubblicato con IP pubblico ben preciso e diverso da quello con cui escono sul web gli utenti.
Ho installato il pfsense e riesco a uscire su internet ma non riesco ad accedere dalla LAN alla DMZ e non so come pubblicare l'indirizzo 192.168.0.19 su IP pubblico 37.207.168.x+2.
Immagino di dover impostare qualche regola sul nat, però ci sto perdendo la testa e non riesco a cavarci i piedi.
Qualcuno mi può dare una mano segnalandomi qualche HowTo o mettendo qualche immagine di configurazioni?
Grazie infinite -
Ciao,
per usare più ip pubblici puoi seguire quest'articolo: http://www.pfsenseitaly.com/2012/11/come-utilizzare-ip-pubblici-aggiuntivi.htmlPer quanto riguarda la navigazione dalla lan alal dmz devi andare in Rules > Lan e creare una regola che permette di passare a tutti i protocolli, provenienti da qualsiasi indirizzo e diretti verso la subnet della dmz.
Ciao Fabio
-
Grazie per la risposta.
Ho provato a fare come mi hai suggerito, ovvero di creare una regola.
La videata della regola è quella allegata, eppure dalla LAN non riesco tutt'ora a pingare una macchina che è nella DMZ mentre il pfSense la pinga.
Dove sbaglio?
-
Con quella regola il ping (ICMP) non passa, visto che hai messo solo protocolli TCP\UDP.
Devi mettere any in quella casella.. -
Guardando la videata di quella regola, dopo averla pubblicata qui, ho capito anch'io che poteva esserci il problema del ICMP ed ho provveduto subito a cambiarla.
Ma il risultato non è cambiato.
Colto dal dubbio ho anche fatto un ulteriore regola, uguale ma sull'interfaccia DMZ.
Nuovamente non è cambiato il risultato: dalla una macchina nella lan non riesco a comunicare con una macchina nella DMZ.Di seguito le due videate
-
Nei log del firewall vedi qualche block?
-
Ci dev'essere qualcos'altro che mi sfugge, perchè anche la guida per pubblicare un IP col NAT 1:1 a me non funzia.
Ovvio che il server da pubblicare risiede nella DMZ.
Help! -
Nei log non vedo nulla che dica che viene bloccato il traffico.
Quantomeno se vado su status -> system logs -> firewall non vedo l'ip della mia macchina (quella da cui faccio partire il ping) come source.Ho voluto anche fare un altra prova. Ho provato a seguire la guida per pubblicare l'ip, poi sono andato su un free-proxy francese ed ho provato a navigare su quell'ip. Ovviamente la navigazione non è andata a buon termine, ma anche in questo caso non c'e' stato nulla nel log.
Peraltro, proprio facendo quella prova, avevo sbagliato a digitare l'ip e anzichè scrivere quello del server ho scritto quello con cui esco. E in questo caso il log mi ha riportato il blocco:- Sep 9 12:36:52 WAN_FIBRA 46.105.18.32:41983 37.207.x.62:80 TCP:S
Dove 46.105.18.32 era il proxy e 37.207.x.62 è l'indirizzo da cui esco.
Ho provato a pubblicare un webserver all'indirizzo 37.207.x.60 ma il proxy non si connette e nei log non compare comunque nulla.
Spero di essermi riuscito a spiegare.