Dúvida sobre DMZ + Bridge
-
Bom dia amigos do fórum, tenho uma dúvida em relação a como fiz minha DMZ.
Meu cenário é o seguinte:
INTERFACES ------------------------------------------ Interface WANGVT -> IP Dinâmico (PPPOE) Interface WANCOPEL -> IP Fixo (177.x.x.58) Interface LAN -> IP Fixo (10.0.0.1) Interface DMZ -> Sem IP BRIDGE ------------------------------------------ WANCOPEL + DMZ
Eu gostaria de utilizar os IPs válidos da COPEL nos meus servidores da DMZ. Recebi deles uma rede /29, e um dos IPs públicos está na interface WANCOPEL do pfSense. Eu simplesmente criei uma BRIDGE no pfSense entre a WANCOPEL e a DMZ, sendo que minha interface DMZ está configurada pra ficar sem IP.
Arrumei as regras do firewall na interface WANCOPEL e DMZ. Coloquei um PC com o IP 177.x.x.59/29 e gateway 177.x.x.57 ligado na interface DMZ para testes.
Tudo funcionou corretamente, consigo acessar o micro da DMZ pela LAN, e da DMZ acesso a LAN conforme as regras que preciso (atualmente o tráfego DMZ -> LAN está liberado completamente, apenas para testes).
Meus computadores da LAN seguem acessando a Internet pela WANCOPEL e WANGVT normalmente.Sei que tenho outras opções para fazer a DMZ, mas gostaria que os servidores voltados pra Internet ficassem com IPs públicos, sem NAT. Alguém poderia me apontar possíveis falhas na minha configuração?
Desde já agradeço qualquer contribuição!
-
A configuração funciona como você já testou.
Já tive problemas ao utilizar pacotes com um pfsense configurado desta forma, mas se está funcionando, recomendo utilizar o ids/ips para proteger seus servidores além de regras bem restritivas.
-
Obrigado pela resposta Marcello,
Estou tendo problemas com o acesso da DMZ para a LAN, acho que testei da forma errada anteriormente. Da LAN para a DMZ está funcionando OK.
Se dou um ping em um IP da LAN funciona, se tento conectar utilizando algum protocolo TCP (tentei abrir um site HTTP e uma conexão RDP da DMZ para a LAN) nada feito.
Fiz regras abrindo qualquer protocolo entre LAN e DMZ para testes, mas não resolveu.O que poderia ser?
-
Veja o que acontece pelo tcpdump.