[Solucionado] inconveniente con reglas de firewall en interfaz bridge

erode

Estimados, buenas tardes, tengo el siguiente inconveniente con la version 2.3 de pfSense:

la infraestructura que tengo se compone de la siguiente forma:

Tengo varios servidores con IP publicas, por ende tuve que armar una interfaz bridge de WAN para que cada uno de los servidores tenga salida a internet con la ip publica que corresponde, entonces las interfaces quedaron asi:

WAN -> con una ip cualquiera, sin gateway, conectada al switch de internet
LAN -> con una ip de mi red local, lo uso de managment
OPT2 -> en esta placa puse uno de los servidores para probar, con ip publica.
BRIDGE -> en esta interfaz hice un bridge entre OPT2 y WAN

Bien, logro salir a internet desde mi servidor a través de pfsense, pero solamente si creo la siguiente regla en la interfaz bridge:

PROTOCOL any, source any, destination any

Probe borrando la regla, y creando reglas de la siguiente forma, por ejemplo tengo corriendo un web server en el puerto 80, por lo cual probe las siguientes reglas dentro de la interfaz BRIDGE:

protocol TCP, source any port 80, destination single host or alias (ip de mi servidor), port 80

Pero no me deja acceder desde afuera, tambien probe de poner :

protocol TCP, source any port 80, destination OPT2 Net, puerto 80

Probe de todas las formas, y combinaciones posibles creando reglas dentro de la interfaz bridge, pero solo me deja cuando le pongo allow any any, pero deja pasar todo.

Es un problema de configuracion del bridge? no logro encontrar que estoy haciendo mal.

Desde ya les agradezco la colaboracion.

Saludos

rodria

Mmmm, y no te sirve mejor tener el pfSense para que sea él el que maneje las IP Publicas? me imagino que hablas de un solo ISP con un segmento tipo /29
No he hecho algo así con pfSense, pero presumo que debe ser igual que en cualquier otro firewall, colocas tu WAN tipo  200.100.050.030/29 luego creas Virtual IP para cada servidor y tus servers los dejas en la DMZ, tener los servidores directamente en internet no tendría sentido para mi, y menos teniendo un fw delante.

Saludos

erode

Gracias por tu respuesta. Tengo dos ISP, por ende voy a poner dos placas para wan, y una placa que salga a la LAN que va al switch.
Bien, en mi placa WAN le debería configurar una de las IP publicas que dispongo, y luego crear virtual ip que nateen a las ip LAN de los servidores. estoy en lo correcto?

Desde ya agradezco la colaboración.

Saludos!

rodria

Sí y no :-)  configuras una ip, pero con el CIDR del segmento que te den, para que las virtual IP tomen de ese segmento las idirecciones que vas a configurar…  Ejemplo

ISP1    200.200.200.100/29

Te quedarían IPs usables 200.200.200.97 hasta la 102  de las cuáles una (200.200.200.100) sería la IP de tu pfSense, te quedarían "libres" de la 97 a la 102, ya que la 96 sería la dirección de red y la 103 la de broiadcast, y entre 97 y 102 (menos la 100) deberías configurar el gateway.

Suponiendo que tu gateway lo definas como 200.200.200.97 y al pfSense como 200.200.200.100 entonces de va a quedar 200.200.200.98, x.99, x.101 y  x.102 que usarias el virtual IP para definir tus servidores con esas IP.

Al menos así lo hago en Fortinet

Es algo que tengo que hacer en un futuro muy muy cercano, solo estoy esperando los nuevos hierros para cambiar los fortinet po pfSense.

Saludos.

erode

Muchas gracias! lo arme asi y funciona!

rodria

Perfecto, edita el subject y coloca [Solucionado] o [Solved] como mejor prefieras, esto es con el fin de que otro que tenga un problema similar, pueda usar este hilo como KB… sería también importante que coloques tu configuración como guía (screenshots, etc) obviamente ofuscando al menos los dos últimos bytes, o mostrando IP diferentes a las tuyas.

Saludos

erode

Perfecto :) en breve subo la configuración de como quedo.

Por ultimo, me quedo una duda, uno de los webservers que tengo adentro de la red usa certificado ssl… como maneja pfsense el tema de los certificados?

Desde ya muchas gracias por tu ayuda rodria !!

georgeman

El problema del primer post es que estabas especificando el SOURCE port como 80, y nunca es 80. El source port es dinamico y siempre debe ir como ANY.

Saludos!

yraul

Pudieras subir las imagenes de la solucion que me interesa este tema para una configuracion que pienso hacer proximamente.

Saludos desde Cuba.