Chiarimento DMZ

saturn · Sep 27, 2019, 7:54 AM

Buongiorno,

uso pfsene con solo la parte lan configurata, siccome ho anche un Nas, leggendo qua e la
ho capito che potrei configurarlo in DMZ (ho a disposizione 4 porte lan) così anche se esposto
ad internet e venga bypassato essendo su un'altro segmeto di rete almeno i pc della lan sono protetti.
Se ho ben capito di default il segmento DMZ non comunica con la lan, mentre la lan comunica con l'area DMZ.

Ora vi espongo il mio problema:
non ho la necessità di raggiungere il NAS dall'esterno, quindi lo potrei anche lasciare in lan, ma in che modo potrei
proteggere l'accesso ai dati (comunque l'accesso al nas è protetto da password) in caso venga violata la lan?

Grazie in anticipo.

kiokoman · Sep 27, 2019, 8:51 AM

Per dmz si intende "zona demilitarizzata" (Demilitarized zone) è una rete separata intermediaria tra internet e la rete interna, brevemente .. generalmente viene configurata per i server che forniscono servizi verso internet mantenendolo separato dalle altre reti in modo che se viene compromesso non potrà accedere e quindi danneggiare anche la LAN.
Detto questo se aggiungi una nuova interfaccia a pfSense questa si chiamerà OPT1 dove potrai creare una rete separata e isolata o una DMZ.
mettendo il NAS in una rete separata puoi creare regole firewall adhoc come ad esempio impedire al nas di accedere ad internet e viceversa, impedire a determinati client nella LAN di accedere al NAS e viceversa, impedire l'utilizzo di determinati protocolli verso il nas (ad esempio samba/cifs/ftp/http/ssh). da una parte ti rende il sistema più sicuro, dall'altra aggiungi complessità alla tua rete che devi essere in grado di gestire con le regole del firewall. le interfacce aggiuntive di pfSense, a differenza di LAN, hanno tutte le porte chiuse.
ti puo' salvare anche dai famosi virus che cryptano i dati, se un pc nella tua lan becca uno di quelli potrebbe non essere in grado di infettare il nas.
se becchi uno di quei virus e hai il nas connesso al pc come unita' di rete, averlo in un altra rete non ti salverà.
Nel mio nas ad esempio ho creato un utente che ha solo i permessi di lettura, questo utente viene utilizzato da tutti i pc che vogliano accedervi. uso l'utente che ha diritti di lettura/scrittura solo quando strettamente necessario

saturn · Sep 27, 2019, 9:24 AM

@kiokoman
Grazie mille per la delucidazione, sei meglio di google...
Allora seguirò il tuo consiglio, metto il nas in dmz e poi vedo di creare delle regole ad hoc. Non essendo esperto in materia non so dove arrivo. A lavoro finito ti aggiorno per ulteriori consigli.
Grazie.

saturn · Sep 27, 2019, 7:34 PM

Ho aggiunto la terza interfaccia DMZ, assegnato l'IP e fin qua tutto ok.
Nella sezione Firewall/rules/DMZ non ho toccato niente e neanche nella sezione Firewall/rules/Lan, se di default è permesso tutto il traffico dalla Lan alla DMZ, perchè dalla lan non riesco a pingare il nas e ne tanto meno riesco a collegarmi via FTP o via web?
Cosa sbaglio?

Grazie.

kiokoman · Sep 27, 2019, 7:48 PM

in teoria da lan a dmz dovresti essere in grado di farlo. questo ammesso che non hai sbagliato qualcosa nel configurare l'interfaccia e il server dhcp
fai uno screenshot di come hai configurato le interfacce LAN e DMZ, uno screenshot delle regole, uno sscreenshot del server dhcp

saturn · Sep 27, 2019, 7:56 PM

In DMZ non c'è nessuna regola.

kiokoman · Sep 27, 2019, 8:05 PM

i server dhcp sono disattivati, stai usano solo indirizzi ip statici ?

saturn · Sep 27, 2019, 8:00 PM

@kiokoman
si solo ip statici.

kiokoman · Sep 27, 2019, 8:05 PM

e cosa hai collegato in dmz ? che indirizzo ip hai configurto per l'host ?
riesci a pingare il gateway dmz che e' 192.168.2.1 ?

saturn · Sep 27, 2019, 8:05 PM

alla DMZ ho collegato un NAS con il seguente IP 192.168.2.128, si riesco a pingare tranquillamente il gateway DMZ.
Però ora che ci penso, credo di non avere impostato nessun gateway nel NAS, può essere questo il problema?

kiokoman · Sep 27, 2019, 8:08 PM

prova ad impostarlo, ammesso che sia configurato per rispondere ai ping dovrebbe farlo.
puoi anche rimuovere quella regola del synology che non serve più

saturn · Sep 27, 2019, 8:11 PM

Ho impostato il gateway sul nas e ora funziona tutto, anche senza eliminare la regola del synology

kiokoman · Sep 27, 2019, 8:14 PM

ottimo, si la regola del synology non e' causa del problema ma ora che il nas è nell'altra rete non ti serve più

saturn · Sep 27, 2019, 8:16 PM

ok elimino la regola, quindi ora il nas è collegato ad internet, se voglio che non sia collegato ad internet devo portare
la regola sulle regole della DMZ?

kiokoman · Sep 27, 2019, 8:58 PM

in teoria l'interfaccia DMZ e' bloccata verso internet di default se non hai messo nessuna regola, comunque si la sposti sull'interfaccia DMZ mettendo ovviamente il nuovo ip che hai assegnato al nas

saturn · Sep 28, 2019, 4:25 PM

Ho collegato alla DMZ un notebook per testare la connessione internet, ho provato molte regole, però il notebook non esce
in internet, non capisco dove sbaglio. Allego uno screenshot dell'ultima prova.

kiokoman · Sep 28, 2019, 4:59 PM

le regole sono giuste, il minimo per navigare
potrebbe essere più un problema di come hai configurato il notebook visto che non hai il dhcp abilitato, controlla anche il log del firewall eventualmente

saturn · Sep 28, 2019, 5:26 PM

nel notebook ho impostato come gateway l'ip della DMZ, mentre come DNS ho provato sia con l'ip della Lan che con quello della DMZ.
Il log credo che non riesco ad interpretarlo....

kiokoman · Sep 28, 2019, 5:51 PM

indirizzo ip da assegnare al notebook deve essere compreso tra 192.168.2.2 e 192.168.2.254
subnetmask 255.255.255.0
gateway 192.168.2.1
dns 192.168.2.1

controlla dns forwarder o dns resolver (non so cosa usi) fa uno screenshot eventualmente

saturn · Sep 28, 2019, 6:03 PM

il notebook è impostato come dici tu

dns forwarder è disabilitato, quindi resta dns resolver