[SOLUCIONADO] Duda sobre regla de DMZ a Internet sin pasar por toda la LAN

Español
Log in to reply
  • _neok

    Hola a todos!
    Tengo un equipo (antispam) en mi DMZ, expuesto a internet con un NAT en una de mis WAN.
    Tengo una regla funcionando que le permite comunicarse con dos IP de mi LAN y nada más. Hasta aquí todo bien.
    Ahora bien, necesito que ese equipo pueda conectarse a internet, pero no al resto de mi LAN.
    Si armo una regla de DMZ to any se conecta a internet pero también a la LAN completa.
    Cómo y dónde me recomiendan armar la/s reglas para que se comunique a internet y solo a las IP de mi LAN que yo le indique?
    Muchas gracias por cualquier pista!
    Saludos cordiales

    Gabriel

    0
  • ptt
    Rebel Alliance

    Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

    0
  • J

    Adicional a la Regla que dice ptt.

    Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

    Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

    Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir.

    Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar.

    Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.

    0
  • _neok

    @ptt:

    Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

    Gracias! Mañana lo pruebo y les comento.
    Saludos!

    0
  • _neok

    @j.sejo1:

    Adicional a la Regla que dice ptt.

    Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

    Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

    Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir.

    Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar.

    Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.

    Gracias j.sejo1 !
    Si lo de permisos en las interfaces lo sabía, igual vale la aclaración para la comunidad.
    Saludos!

    0
  • _neok

    @ptt:

    Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

    Solucionado como dice ptt.

    0

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy