Duplo Nat pfSense x pfSense não funciona

Tiago Lopes

Olá bom dia a todos!

Pessoal hoje utilizo dois firewall em minha rede, um iptables (firewall principal) e um pfSense. Atualmente tenho um nat duplo em produção que redireciona requisições recebida pela WAN do iptables para o pfSense, segue abaixo cenário fictício para melhor entendimento.

200.200.200.200:7000 (Iptables) > 192.168.0.3:7700 (pfSense) > 172.16.100.30:7700 (dispositivo)

Rede interna 192.168.1.0/24
IP Gateway 192.168.0.1 (Iptables)
IP Lan pfSense 192.168.0.3
IP WAN pfSense 172.16.100.1
IP equipamento nateado 172.16.100.30

No cenário supracitado o nat funciona corretamente, porém quando retiro o iptables para colocar outro pfSense para atuar como firewall de borda o nat não funciona. Revisei as regras e tentei várias soluções mas até o presente momento não encontrei solução para esse problema. O problema não está no no novo firewall (pfSense) pois assim que coloquei ele na rede tenho nat simples que está funcionando corretamente. Quando digo nat simples quero dizer que o nat não passa pelo outro firewall.

Se alguém já teve problemas semelhante favor descrever a solução. Obrigado

DaddyGo

@tiago-lopes said in Duplo Nat pfSense x pfSense não funciona:

hoje utilizo dois firewall em minha rede, um iptables (firewall principal) e um pfSense

Olá,

Epah , isso é ultra segurança, pode dizer-me porque é que isto é necessário?

Posso dizer que a pfSense na forma de um "edge" NGFW é a melhor escolha.

É desnecessário colocar qualquer coisa à sua frente, uma vez que, por defeito, deixará "drop" tudo na interface WAN.

se segmentar a sua estrutura L3 - e tiver mais do que um router na rede e uma opção upstream, utilize 1:1 NAT para o segundo peer

Cumps,
D

Tiago Lopes

@daddygo

Obrigado pelo retorno..

O que você quis dizer como segmentar em L3? Utilizar Vlan?

Abraços

DaddyGo

@tiago-lopes said in Duplo Nat pfSense x pfSense não funciona:

O que você quis dizer como segmentar em L3? Utilizar Vlan?

Estava a pensar na camada L3 do modelo OSI, onde já trabalhamos com endereços IP e encaminhamento de tráfego (IP trafic - routing)

https://en.wikipedia.org/wiki/OSI_model

Abraços

Tiago Lopes

This post is deleted!

Tiago Lopes

@daddygo Foi vacilo aqui .... Nem lembrei do Modelo OSI...

Adicionei o NAT 1:1 no segundo pfSense porém ainda não consigo conectar... Já testei vários recursos, porém sem êxito... pfSense aceita duplo nat?

DaddyGo

@tiago-lopes said in Duplo Nat pfSense x pfSense não funciona:

pfSense aceita duplo nat?

Sim, mas há muitos problemas com o encaminhamento de portos, esta solução deve ser abandonada sempre que possível.