Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [SOLUCIONADO] Duda sobre regla de DMZ a Internet sin pasar por toda la LAN

    Español
    3
    6
    399
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • _neok
      _neok last edited by _neok

      Hola a todos!
      Tengo un equipo (antispam) en mi DMZ, expuesto a internet con un NAT en una de mis WAN.
      Tengo una regla funcionando que le permite comunicarse con dos IP de mi LAN y nada más. Hasta aquí todo bien.
      Ahora bien, necesito que ese equipo pueda conectarse a internet, pero no al resto de mi LAN.
      Si armo una regla de DMZ to any se conecta a internet pero también a la LAN completa.
      Cómo y dónde me recomiendan armar la/s reglas para que se comunique a internet y solo a las IP de mi LAN que yo le indique?
      Muchas gracias por cualquier pista!
      Saludos cordiales

      Gabriel

      1 Reply Last reply Reply Quote 0
      • ptt
        ptt Rebel Alliance last edited by

        Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

        1 Reply Last reply Reply Quote 0
        • J
          j.sejo1 last edited by

          Adicional a la Regla que dice ptt.

          Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

          Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

          Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir.

          Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar.

          Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.

          Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
          Hardening Linux
          Telegram: @vtlbackupbacula
          http://www.smartitbc.com/en/contact.html

          1 Reply Last reply Reply Quote 0
          • _neok
            _neok last edited by

            @ptt:

            Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

            Gracias! Mañana lo pruebo y les comento.
            Saludos!

            1 Reply Last reply Reply Quote 0
            • _neok
              _neok last edited by

              @j.sejo1:

              Adicional a la Regla que dice ptt.

              Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

              Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

              Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir.

              Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar.

              Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.

              Gracias j.sejo1 !
              Si lo de permisos en las interfaces lo sabía, igual vale la aclaración para la comunidad.
              Saludos!

              1 Reply Last reply Reply Quote 0
              • _neok
                _neok last edited by

                @ptt:

                Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

                Solucionado como dice ptt.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post