Server WEB in DMZ su MultiWAN con failover linee

agent · Sep 18, 2008, 2:57 PM

Un saluto a tutti quanti.

Ho provato a leggere ovunque, ho seguito anche la documentazione di m0n0wall (tornando al padre di pfSense) ma decisamente mi manca qualcosa. Quindi chiedo aiuto a voi.

Allora, iniziamo. Ho un firewall con 4 interfacce:
LAN 192.168.0.0/24
WAN1 192.168.1.0/24 (in realtà è in DHCP, è una linea nuova che sto testando) con IP pubblico dinamico
WAN2 192.168.2.136/29 (è la linea su cui ho gli 8 IP pubblici statici, questo indirizzo di rete è solo per semplificare)
DMZ 192.168.3.136/29

Dalla WAN2 tolti indirizzi di rete, broadcast e indirizzo del router, ovviamente ho 5 indirizzi pubblici liberi, sufficienti per i server in DMZ e altri servizi.
Quello che voglio ottenere e che attualmente già funziona è far accedere i client ad internet attraverso la WAN1 finché è disponibile e passare su WAN2 solo in caso di caduta. I server invece devono essere pubblicati sulla WAN2 con i rispettivi indirizzi. Attualmente con la DMZ disabilitata il failover funziona correttamente.
Mettendo però un server WEB in DMZ non riesco praticamente a fargli fare nulla, ne accedere ad internet, ne tantomeno rispondere a richieste da client.
Ora ho cancellato tutte le prove fatte per ripartire da una situazione pulita.
Riporto qui i passaggi (sicuramente da correggere o integrare):

Aggiunto un Virtual IP su WAN2
Nattato 1:1 questo IP con l'IP reale in DMZ del server
Aggiunte le regole per permettere al server in DMZ di effettuare query a server DNS in internet
Aggiunte le regole per (ad esempio) permettere al server in DMZ di aprire pagine in internet tramite browser su porta 80.

Primo problema: non risolve i nomi, anche se la relativa regola viene applicata.
Ho anche provato ad far passare le richieste ICMP ma idem come per il DNS.
La quasi certezza è che il server riesca ad uscire ma non riceva le risposte. Il NAT 1:1 è bidirezionale, quindi proprio non capisco.

Ringrazio già da ora chiunque abbia un'idea per iniziare…

mascaos · Sep 18, 2008, 3:50 PM

Non è conf. semplicissima … e per capire dove stà il prob. avrei bisogno delle schermate di come sono conf. le interfacce, delle regole del firewalll per ogni interf., di tutte le parti di NAT sia di pfw che 1:1 che outband dei vip ev. alias se li usi. Nascondi gli ip o mettici degli ip falsi ... poi appena ho tutto d'ho un occhio. A già anche i pool di load e failover.

Ciaoz.-

PS: cercami in msn (info@mascomputer.net) magari parlando in tempo reale ci si capisce meglio :D :P

agent · Sep 22, 2008, 4:07 PM

Intanto ti ringrazio.
Sono un po' incasinato e per questo ritardo nelle risposte. Tra l'altro ho due demo nei prossimi 2 giorni e non posso spostare il server. Ti allego intanto gli screenshot delle configurazioni rimaste dopo la pulizia!!!

Ti ho aggiunto su msn, ti contatterò al più presto.

Grazie

Alessandro

![Load Balancer.JPG](/public/imported_attachments/1/Load Balancer.JPG)
![Load Balancer.JPG_thumb](/public/imported_attachments/1/Load Balancer.JPG_thumb)

agent · Sep 22, 2008, 4:16 PM

WAN2

agent · Sep 22, 2008, 4:16 PM

DMZ

agent · Sep 22, 2008, 4:17 PM

Regole firewall

mascaos · Sep 22, 2008, 4:44 PM

Decisamente è meglio che mi chiami su MSN … c'è troppo roba. E già da queste schermate ci sono delle cose che non mi tornano.

Ciaoz.-

Matteo