Dmz dual firewall



  • Ciao, in un ambiente di test vmware sto realizzando una rete con wan, lan e dmz usando due firewall pfSense.
    Prima domanda, poi ricaricare le configurazioni di ogni firewall salvandole e ricaricandole sulle macchine fisiche? Ci sono problemi nell'assegnazione delle schede di rete?
    Seconda cosa ho praticamente configurato un network solo per la dmz (172.16.0.0/16), ed i firewall hanno:

    il frontend wan e dmz ed il backend dmz e lan.
    Tutto il routing dei pacchetti funziona perfettamente, dal frontend arrivo alla lan con un opportuna regola di routing e dalla lan in dmz.
    Il problema è che inizialmente avevo impostato NAT solo sul frontend, infatti i server in dmz escono su internet, ma la lan no, perchè avevo tolto il NAT (voglio che i pc in lan raggiungano gli host in dmz senza nat).
    L'unico modo per far raggiungere internet alla lan è quello di impostare NAT con negazione verso DMZ, in modo che verso DMZ non ci sia nat, mentre per arrivare su internet due nat, passando dal backend al frontend..
    E' corretto come procedimento?
    Ciao

    Marco



  • Per quanto concerne la prima domanda … 1 conf. di pf fatta su vm funz su 1 macchina reale ... SI* ... l'* è perchè in fase d'avvio ti chiederà l'assegnazione delle nuove interfacce hw al posto di quelle che c'erano sulla macchina Virtuale.

    Per la sconda ... mi sono perso tra back e front.

    Io posso dirti che la NAT la puoi fare da un punto A ad un punto B. Per cui puoi fare una nat tra lan e dmz e non tra lan e wan non serve negare nulla. Io ho parecchi firewall con molte interfacce dove alcune possono andare su altre ed altre no.

    Ciaoz.-

    PS: spiega meglio la seconda domanda ... chi va dove e come vuoi che ci arrivi ( LAN --> DMZ con NAT 1:1 ? )



  • Allora sul backend quindi LAN<–-->DMZ voglio che i pc della lan vadano in dmz senza nat, cosa che ora fanno, ma ovviamente se voglio andare su google non ci vado perchè i pacchetti arriveranno sul router di frontend (gateway di quello di backend), che fa NAT per i server in DMZ, i quali navigano.
    Quindi il punto è questo, se non metto nat anche sul fw di backend, non posso uscire su internet, mentre mettendo nat funziona.
    La negazione è per evitare che siano nattati anche i pacchetti verso dmz...
    Lo è contorto! :-)
    Riassumo come

    LAN----->FIREWALL BACKEND----->DMZ------>FIREWALL FRONTEND----->WAN
                                    NO NAT(solo verso dmz)                              NAT



  • Risolto tutto :-)


Locked