Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [RISOLTO] Configurazione 3 zone PfSense

    Scheduled Pinned Locked Moved Italiano
    3 Posts 2 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • X
      X-Falko
      last edited by

      Salve a tutti,

      come da titolo, mi trovo ad avere la necessità di configurare la PfSense con 3 zone (Lan Client, Intranet & DMZ) ma sto trovando non poche difficoltà nella configurazione sulla 2.3.2-p5 .

      Nel mio caso mi trovo ad avere una configurazione dove sono usate 3 porte fisiche e dove ognuno degli ambiti utilizza diverse sottoreti (Lan 192.168.0.0/25 | Intranet 192.168.1.0/27 | DMZ 192.168.2.0/27).

      Volendo far ordine e distinzione sia nei cablaggi che nelle reti, ho provato a dividere su 2 porte distinte la rete LAN Client da quella intranet (che attualmente lavorano sulla stessa porta & arrivando ad usarne 4 sul firewall), ma da qui ho cominciato a riscontrare i problemi.

      A quanto sto vedendo, avendo anzitutto creato le regole di accesso, il problema sembra girare intorno alle regole di outbound NAT (che nel mio caso è settato manualmente) e succede questo:

      • se tento la navigazione da una qualsiasi delle zone tutto funziona correttamente;

      • da qualsiasi zona l'accesso verso un server in DMZ funziona correttamente;

      • se provo a connettere da una qualsiasi zona verso un server intranet, la connessione arriva sul server con l'ip gateway del firewall e quindi nel momento in cui tenta la risposta il pacchetto viene bloccato

      In prima battuta sembrerebbe che non venga effettuato quello che in Linux chiamerei "masquerating" (solo che non riesco a capire dove si setti questa funzione), ma non escluderei nemmeno che si debbano creare ulteriori crismi per il filtraggio (una su tutte mi vien da pensare i gateway).

      Ringrazio già da ora chiunque possa aiutarmi a sciogliere questo problema.

      1 Reply Last reply Reply Quote 0
      • fabio.viganoF
        fabio.vigano
        last edited by

        Ciao,
        i primi concetti base da mettere in atto sono i seguenti:

        1. tutte le sottoreti sono nattate sulla wan quindi quando esci su internet ti presenti sempre con ip della wan
        2. tutte le comunicazioni tra le sottoreti sono fatte solo con routing, ogni host si presenta ad un host di una sottorete diversa con il suo ip

        Per verificare se questa parte è a posto puoi controllare la tabella di routing in Diagnostics > Routes
        Il nat dalle subnet verso internet lo gestisci dal nat outbound percui avrai almeno 3 regole di nat outbound pressochè identiche dove a cambiare è solo il source

        Interface=wan
        souce=client/intranet/dmz
        Source Port =any
        Destination=any
        Destination Port =any
        NAT Address=WAN Addres
        NAT Port =any
        Static Port=no

        Poi per permettere il routing devi andare sulle roules di ogni interfaccia (client/intranet/dmz) e decidere verso quale altra sottorete possono fare traffico.

        Attenzione
        Fino a qui ti ho dato la spiegazione per gestire 3 lan e 1 wan ma tu hai citato una DMZ che non può essere considerata una "lan" quindi alcune indicazioni che ti ho dato sopra devono essere variate in base a come vuoi che la tua DMZ si comporti.

        Ciao Fabio

        ===============================
        pfSenseItaly.com
        La risorsa italiana per pfSense

        Se il post o la risposta ti sono stati utili clicca su 👍

        1 Reply Last reply Reply Quote 0
        • X
          X-Falko
          last edited by

          Ciao,
          ho letto solo ora la risposta e ti ringrazio moltissimo Fabio.

          Alla fine la configurazione che avevo indicato, ero riuscito a crearla "ad occhio", e rispecchia esattamente i criteri che mi avevi indicato (e con buon risultato!).

          Considerato che questa casistica è comune a molte realtà, indico i passi seguiti nel caso possa servire anche da altri.

          La configurazione che ho adottato, parte dal principio che avrò 3 (o più) reti di cui 1 sarà per i client e 2 dedicate ai server (DMZ e INTRANET nel mio caso) usando quindi 3 porte fisiche più la (o le…) WAN.

          innanzitutto la prima cosa è stata quella di verificare che il cablaggio non creasse dei ponti fisici tra le reti, caso che mi è successo e che mi ha costretto a ricostruire l'armadio di rete (non voglio sapere con che criteri certi tecnici lavorino...), particolare importante per non trovarsi a "combattere" con problemi di routing asimmetrici, che nel mio caso degradavano le connessioni fino a far crashare la pfsense tanto era alta la congestione di banda.

          A questo punto ho settato indirizzi e classi relativi ad ogni singola interfaccia ed attivato le porte, passo successivo ha riguardato gli outbound nat...

          In questo caso si è reso necessario l'attivazione dell' "AON" con poche ma semplici regole (5 in questo caso):

          • 2 regole per si che

            • non vi sia NAT tra client verso intranet e DMZ

            • non vi sia NAT tra Intranet verso DMZ

          • 3 regole per fare in modo che ogni rete possa uscire sul web (nel mio caso ho usato anche ip wan specifici in base alla rete sorgente)

          Infine, impostando le regole di NAT (solo su DMZ) ho potuto aprire i vari servizi necessari sul web (Apache, FTP, etc…), mentre per i servizi INTRANET è stato sufficiente fare una regola generica sul filtro "da ovunque verso ovunque" senza NAT, in maniera da usare il firewall in modalità "esclusiva" su questa zona.

          Il risultato è che ora:

          • qualsiasi client può "parlare" con i server restando nella rete interna, utile per evitare problemi di sicurezza in WAN e per sfruttare la velocità degli switch

          • i server INTRANET NON possono comunicare direttamente con i client mentre possono farlo verso la DMZ ed internet

          • i server DMZ comunica SOLO tramite WAN (quindi verso internet)

          David

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.