Acessar a internet de dentro para fora - DMZ



  • Boa tarde!

    Fiquei encarregado de implantar o PFSense para ser o firewall aq da empresa onde trabalho e, seguindo as idéias de alguns tópicos daqui do fórum e do youtube, consegui implanta-lo. O firewall está sendo o gateway de 4 redes: Lan, Wlan, Cloud e DMZ (estas duas últimas com IPs públicos). Todas as interfaces estão configuradas com IPs estáticos.

    Entretanto, os servidores que estão nas redes DMZ e Cloud não estão conseguindo acessar a internet, tento atualizar pelo apt-get update, por exemplo, e não consigo. Já pesquisei bastante e o máximo que consegui foi liberar o acesso de fora para dentro, acessando o site da empresa pela rede LAN.

    Como posso resolver isso? Estou sem ideias.

    Seguem abaixo os prints da topologia (feita no paint pq o desespero ta grande) e das regras de NAT e de Firewall.

    Topologia:

    Nat OutBound:

    Nat PortForward:

    Regras de Firewall:



  • Ips públicos só precisam de nat quando estão saindo por um link diferente daquele em que os ips estão atribuídos.

    Quem é o provedor/gateway desses seus ips válidos na dmz?



  • Ajustei um ip válido numa das interfaces do PFsense para ser o gateway desses ips válidos.

    Anteriormente, a topologia era exatamente a mesma, mas, ao inves de ter um firewall como gateway, era um servidor (utilizando iptables) que fazia o papel de gateway das 4 redes. O Pfsense está configurado em uma VM no XenServer com as 5 interfaces necessárias (Wan, Lan, Wlan, Cloud e DMZ). Até liberei o icmp para o pfsense pingar nos hosts das redes, e vice-versa, para testar e funcionou normalmente.

    Não entendi o lance do NAT :-\ Você está se referindo a qual? O portforward ou o Outbound?



  • @johnsonmelo:

    Ajustei um ip válido numa das interfaces do PFsense para ser o gateway desses ips válidos.

    A partir dessa interface tu consegue pingar pra fora? Menu Diagnostics > Ping em "Source Address" tu seleciona a interface referente ao gw desses IPs públicos.



  • Bom dia! Primeiramente, queria agradecer pela paciência e pela disposição. Muito obrigado!

    Realizei os testes de ping e realmente não consegui acessar externamente, consegui pingar apenas no meu GW e nos hosts internos da rede (DMZ).

    Não sei se o problema é o DNS pq estou utilizando os servidores DNS da empresa e consigo instalar os pacotes (squid, etc) no PFSense normalmente. Como o PFSense vai funcionar apenas como firewall, desabilitei os serviços de DNS Forward e Resolver (estudei pouco sobre eles pq acho q não serão utilizados neste cenário).

    Segue abaixo os prints dos testes:



  • Quem que é o gw da interface Cloud e DMZ?



  • Só configurei um gw, o da WAN, pq as demais interfaces serão o próprio gw de cada rede.

    Realizei o teste de ping pela interface WAN e também não consigo pingar no 8.8.8.8, mas consigo navegar pela internet através da rede LAN, com exceção dos serviços hospedados na rede DMZ.

    Segue abaixo como está configurado:

    Seria algum bloqueio que realizei sem saber? Já tentei liberar tudo, mas não obtive mudança :(



  • @johnsonmelo:

    Não entendi o lance do NAT :-\ Você está se referindo a qual? O portforward ou o Outbound?

    Outbound nat. No linux você provavelmente estava usando o masquerade.



  • Boa tarde!

    Tirei o NAT das redes com ip público e conseguir finalmente acessar a internet (muito lenta, mas consegui). Entretanto, ainda não estou conseguindo acessar os serviços web da empresa, que estão hospedados na rede DMZ, quando tento através de uma rede externa. Existe alguma configuração específica, ou regra de firewall, para interfaces com ip público??

    Tipo, preciso liberar alguma coisa na interface WAN ?



  • Pessoal, boa tarde!

    Não consegui contornar o problema do acesso à rede DMZ (com todos os hosts utilizando IPs públicos e estáticos). Realizei um teste liberando apenas o acesso ao endereço da interface de rede DMZ (DMZ address) e consegui acessar o dashboard do PFSense tranquilamente, mas quando altero o "destino" para o aliases dos hosts da mesma rede, não consigo acessar os serviços web DDD:

    Estou esquecendo de configurar alguma coisa? Help :'(


Log in to reply