Problemas para cortar trafico de zona DMZ a LAN



  • Hola a todos, tenemos un PC con tres tarjetas de red e instalado pfSense.
    Cada tarjeta de red conecta a una red distinta:

    WAN => 192.168.1.x
    LAN => 192.168.2.x
    DMZ => 10.228.163.x

    Dentro de la LAN tenemos algunos servidores web que ofrecen una aplicación web para la red LAN y el problema reside en que desde la zona DMZ acceden a dicha aplicación web, al igual que desde DMZ pueden hacer un ping a cualquier IP que se encuentra dentro de la LAN.

    Hemos probado varias reglas en el firewall y ninguna corta el tráfico entre DMZ y LAN.

    Los permisos correctos serian:
    LAN => ACCESO A WAN Y DMZ
    DMZ => ACCESO A WAN

    Por favor, a ver si alguien nos puede orientar con esto.

    Gracias.



  • Tienes un proxy activo? en pfsense?



  • ¡Hola!

    Esto será porque habeis puesto reglas autorizando ir de una LAN a otra …

    Por defecto no hay reglas que permitan saltar de una LAN a otra.

    pfSense se instala con una única regla para salir a Internet desde LAN por medio de WAN:

    *  	 LAN net  	 *  	 *  	 *  	 *
    

    En LAN bastará con añadir:

    *  	 LAN net  	 *  	 DMZ net 	 *  	 *
    

    Y en DMZ:

    *  	 DMZ net  	 *  	 *  	 *  	 *
    

    o bien (si no resultara suficiente la anterior):

    *  	 DMZ net  	 *  	 !LAN net  	 *  	 *
    

    Supongo que el cortafuegos está en modo router (lo normal) y no en modo bridge …

    Saludos,

    Josep Pujadas



  • Muchisimas gracias.
    Ha funcionado.



  • disculpa bellera pero que significa  "!" este simbolo al costado de la palabra LAN net?? lo he leido en el pfsense pero no logro captar que funcion tiene, muchisima gracias hermano
    Code:*  DMZ net  *  !LAN net  *  *



  • ¡Hola!

    Significa "contrario de"

    Es marcando la casilla not

    Use this option to invert the sense of the match.

    En este caso todo lo que no sea de la LAN ser irá por la gateway. Y como no hay ninguna regla más nada podrá ir a la LAN.

    De todas maneras creo que no es necesario … como ya dije en el post ...

    Saludos,

    Josep Pujadas


Log in to reply