Problemas de enrutado
-
Hola amigos!
He configurado una DMZ con dos firewalls, el que da a la LAN es un equipo con vyatta el que da a internet es un pfsense. El vyatta enruta el tráfico de la LAN y sólo dejo pasar los protocolos que a mí me interesa. En medio de la DMZ tengo un proxy, parece ser que todo lo que pasa por el proxy funciona sin problemas, pero lo que cruza la dmz de firewall a firewall no funciona bien. Por ejemplo, si hago ping desde un equipo de la LAN me da tiempo de espera agotado, si hago ping desde el primer firewall si que hay respuesta. Por otro lado haciendo una captura de paquetes en pfsense, sobre la interface WAN, he comprobado que cuando hago el ping desde el vyatta veo tráfico ICMP, sin embargo si lo hago desde cualquier equipo de la LAN, no hay tráfico ICMP sobre dicha interface. Creo que el problema está en alguna regla de enrutado o en el cortafuegos de pfsense.
Me podeis echar una mano
-
No entiendo tu configuración. ¿Puedes incluir un diagrama?.
Miguel Ángel Araujo
México -
Hola Miguel Ángel,
Decirte que ya lo solucioné, estoy usando una screened subnet, si miras en internet hay cientos de diagramas sobre esto. Se trata de una configuración donde la DMZ está flanqueado por dos routers/cortafuegos, uno de ellos da a la red insegura (internet), el otro está conectado a la LAN interna, la porción de red física que queda entre ambos routers es la screened subnet (DMZ). Aquí es donde se configuran los Hosts Bastions.
Después de toda esta verborrea, decirte que lo he solucionado, y el problema es mi poca experiencia con pfsense, resulta que el asistente configura una red por defecto para dejar pasar el grupo de IP de la red local y lo llama "LAN subnet" o algo así. El problema es, parece ser, que esta subred la construye en base a la dirección de red de la interfaz que está conectada a la screened subnet, y esta dirección de red es distinta a la dirección de red de la LAN Interna. Mi primer router que da a la LAN no hace NAT (ni falta que hace), está enrutando, por tanto a pfsense llegan los paquetes capa 3 con las direcciones de red de mi LAN. En definitiva que el firewall de pfSense se está comiendo los paquetes con patatas ya que no tenía una regla que permitiese dichos paquetes.
Saludos