Configurar Pfsense con 2 ips reales, una para lan y la otra para wan
-
Gracias por tu ayuda. Tengo una consulta en mi configuración de interfaces solo aparecen LAN y WAN, en ningun caso aparece la interfaz OPT1, me fui a Bridge para crearla pero quedo pillo, estoy un poco perdido en esto ya que nunca lo había echo, ayudenme porfa
-
Cuantas tarjetas de red tiene?, ya le dió asignar?
-
tengo 2 tarjetas de red, una conectada al router que la asigné como wan y la segunda tarjeta que la tengo asignada como lan.
-
Pues entonces, ahí está su respuesta.
-
Personalmente, evitaría el "Bridge"
Tienes/dispones solamente de 2 IP's Públicas ? (un /29 son 6 IP's)
Que te asignen una IP en otro segmento, para la WAN (un /30) del pfSense, y que "ruteen" el /29 a esa IP….
Sería bueno que subas un diagrama/esquema detallado/completo de la Red, para "entenderla" y "recomendar" lo mas "adecuado" ;)
-
@ptt:
Personalmente, evitaría el "Bridge"
Tienes/dispones solamente de 2 IP's Públicas ? (un /29 son 6 IP's)
Que te asignen una IP en otro segmento, para la WAN (un /30) del pfSense, y que "ruteen" el /29 a esa IP….
Sería bueno que subas un diagrama/esquema detallado/completo de la Red, para "entenderla" y "recomendar" lo mas "adecuado" ;)
Por que recomiendas evitar el modo bridge?
-
Porque, si utilizas el buscador, vas a encontrar que la mayoría de los usuarios "experimentados" coinciden en que son mas las "complicaciones" que las "ventajas" de este modo…..
Incluso, en la Documentación Oficial lo mencionan
It is normally best to avoid such configurations as they can be problematic, but they can also be useful for several types of configurations
edit:
Además dije: "Personalmente, evitaría el Bridge" (es mi opinión personal).
Y considerando que se trata de una "Empresa de Hosting" deberían poder conseguir un par de IP's mas de su proveedor ;)
-
No entiendo el esquema.
Pero creo que seria usar Pfsense modo Bridge para que cuide lo que entre de la calle a tus servidores.
Yo vi hace años un Pfsense que estaba así: Router-Internet …... Pfsense Modo Bridge (ips/ids) ........ Cisco-ASA
el NAT y y filtrado de segmentos entre las redes lo hacia el CISCO-ASA; pero como no tenian activos los módulos ips/ids
Se opto por instalar pfsense modo bridge con snort, con la idea de limpiar lo que viniera de la wan, y si estaba limpio dejarlo pasar al asa.
Este pfsense contaba con 3 interfaces, 2 para el brigde, bajo una vlan que se creo en el switch donde llega el router.
Y la otra era simplemente un cable para el segmento lan para poder administrar el pfsense.
Tengo la mala noticia que el config.xml no lo consigo.
Quiero armar un LAB, ya que esta es una opción de poner Pfsense sin quitar el CiscoASA. (sabemos la resistencia al cambio de los Pro-Cisco jejeje)
-
me explique mal, paso a detallar. Es para una empresa que da hosting, por lo que todos sus pcs que estarán dentro de la red de firewall serán ips reales.
Y mi firewall además tiene 2 ips reales, una
200.27.66.XXX que es mi WAN y
190.54.59.XX que es mi LANQuiero hacer varias cosas, por eso necesito su ayuda:
1.- Necesito que de afuera se puedan ver todos los servidores, da lo mismo aca la seguridad, necesito que se vean todos los servidores y todos los puertos de estos.
2.- Necesito que de adentro los servidores se puedan conectar para donde quieran fuera de la red.
3.- y lo más importante, necesito hacer un traffic sharper, eso lo veo después, pero me apremia los 2 primeros.
Muchas gracias por toda su ayuda
-
Ya me quedo claro que función hace el firewall entonces. Pero bueno el diagrama de la red no se subió o me lo pase?.
Busque en la documentación, ahí está como publicar los servidores y abrir los puertos que quiera, para abrir todos creo que una sola basta.
-
Pero rovalle, cuando dices que: por lo que todos sus pcs que estarán dentro de la red de firewall serán ips reales…..
Son ip Publicas por lo que entiendo.
Si es así, el firewall lo necesitas de forma transparente.
Algo así: http://4.bp.blogspot.com/-Fa2E9SWnkmI/UNuKYN2mjRI/AAAAAAAAASU/OvZu60AvATs/s1600/schema-simple.png
Es decir el no hará NAT, solo filtrado directo, mas ips/ids si lo deseas.
-
Eso es lo que quiere, lo menciono me parece unos post arriba, ojala le sea benefica tu colaboración
