Consulta por regla de firewall



  • tengo una pequeñana con las reglas en el firewall, cree una dmz todo bien pero solo un detalle. hay alguna forma que los equipos que estan en mi lan busquen a los de la dmz por nombre. me explico mejor

    lan = 192.168.1.0/24
    dmz= 137.137.0.0/16 se que este rango no es privado pero cuando llegue a mi trabajo estava asi, y cambiar 30 servidores es mucho cuando tienes mas de 400 usuarios apuntando a esas ips.

    equipos ejemplo

    137.137.1.44 = pcdmz

    hay aplicaciones que entro por web ejemplo

    http://pcdmz

    de esta forma no puedo entra porq no me reconoce los nombres en la otra red, asi que debo entrar http://137.137.1.44 de esta forma entro pero entra con errores asi que en el pc windows agrege en el archivo hosts 137.137.1.44 pcdmz y sin probelmas para buscar por nombres. el problema que tengo mas de 400 equipos y varias aplicaciones asi y es un lio hacer esto en todas las maquinas, alguien sabe como solucionar esto en el fw, deje que todo lo que viene por la lan –dmz en any pero aun asi no encuentro por nombre los equipos



  • ¡Hola!

    Esto es un problema de DNS y si tienes máquinas con Samba/CIFS (compartición de archivos e impresoras en red según Windows) también es una cuestión de WINS (nombres NetBIOS).

    La forma más simple de resolverlo es que todas las máquinas empleen DHCP, con lo que pfSense pasará a ser su DNS. El propio DHCP registrará los nombres que pongas en el servicio DNS. Además, en el servicio DNS de pfSense se pueden añadir nombres "a mano". Cada interfase tiene su propio DHCP y DNS…

    Si tu red tiene muchas peticiones de nombres es conveniente contar con un servidor DNS adicional. El de pfSense es muy rápido pero la tabla de nombres es cortita. En la configuración de DHCP se pueden indicar DNS alternativos, en lugar de la IP de la interfase de pfSense.

    En el DHCP también se puede decir quien es el WINS. De esta manera el [Entorno de Red] funcionará en todas las subredes. Si no hay WINS las máquinas Windows no se ven los nombres NetBIOS más allá de su subred porque la primera que se pone en marcha se erige como el examinador de equipos. A menos que tengas un controlador de dominio (Active Directory), el cual ya se encarga de todo esto.

    No emplees el hosts de Windows porque como tu mismo dices, te volverás loco. Si me dices esto deduzco que no tienes AD (Active Directory).

    Saludos,

    Josep Pujadas



  • @bellera:

    ¡Hola!

    Esto es un problema de DNS y si tienes máquinas con Samba/CIFS (compartición de archivos e impresoras en red según Windows) también es una cuestión de WINS (nombres NetBIOS).

    La forma más simple de resolverlo es que todas las máquinas empleen DHCP, con lo que pfSense pasará a ser su DNS. El propio DHCP registrará los nombres que pongas en el servicio DNS. Además, en el servicio DNS de pfSense se pueden añadir nombres "a mano". Cada interfase tiene su propio DHCP y DNS…

    Si tu red tiene muchas peticiones de nombres es conveniente contar con un servidor DNS adicional. El de pfSense es muy rápido pero la tabla de nombres es cortita. En la configuración de DHCP se pueden indicar DNS alternativos, en lugar de la IP de la interfase de pfSense.

    En el DHCP también se puede decir quien es el WINS. De esta manera el [Entorno de Red] funcionará en todas las subredes. Si no hay WINS las máquinas Windows no se ven los nombres NetBIOS más allá de su subred porque la primera que se pone en marcha se erige como el examinador de equipos. A menos que tengas un controlador de dominio (Active Directory), el cual ya se encarga de todo esto.

    No emplees el hosts de Windows porque como tu mismo dices, te volverás loco. Si me dices esto deduzco que no tienes AD (Active Directory).

    Saludos,

    Josep Pujadas

    no tengo active directory ahora podria levantar uno que seria menos trabajo qure configurar cada maquina. pero el active directory funcionara bien desde el rango 137.137.0.0/16 a la red 192.168.0.0/24? la verdad esa es la duda. bueno intentare con una maquina de prueba con Active directory y tambien con lo que me recomiendas arriba y te cuento. gracias por la ayuda



  • ¡Hola de nuevo!

    Microsoft recomienda un controlador por subred, pero se puede montar uno para varias subredes si se manejan bien los enrutamientos, los servicios DNS y WINS…

    http://ws.arin.net/whois/?queryinput=137.137.0.0

    ¿Eres Boeing?

    Siempre direcciones privadas. Estás con un rango de IPs públicas. Y esto no cumple normas, por lo que puede ser origen de serios problemas.

    Saludos,

    Josep Pujadas



  • @bellera:

    ¡Hola de nuevo!

    Microsoft recomienda un controlador por subred, pero se puede montar uno para varias subredes si se manejan bien los enrutamientos, los servicios DNS y WINS…

    http://ws.arin.net/whois/?queryinput=137.137.0.0

    ¿Eres Boeing?

    Siempre direcciones privadas. Estás con un rango de IPs públicas. Y esto no cumple normas, por lo que puede ser origen de serios problemas.

    Saludos,

    Josep Pujadas

    Ni cerca de ser Boing. pero como trabajo en un hospital hay muchos servidores que no dependen de mi cambiar el direccionamiento y ademas como hay muchas maquinas de rayos y de laboratorio que no tengo ni la mas minima idea de como configurar. ya que estas no usan windows, linux, mac o alguno tipo de sistema conocido por mi. me es complicado venir y cambiar el rango de una empresa que lleva 10 años trabajando con esto asi. y la verdad tengo varios problemas en la red y vengo viendo como separar todo este enrredo, desde cableado mal tirado que pasa por cables electricos, hasta como ver como separar la red y no afectar el funcionamiento de un hospital que debe trabajar las 24 horas al dia. por lo menos mi idea es de momento comenzar a trabajar con un rango de clase c para los usuarios y para los servidores seria lo ideal mantener las mismas direcciones. por otra parte tengo pensado  crear 3 vlan distintas para los usuarios, ya que actualemente tengo servidores y usuarios inalambricos y fijos en la misma red. de verdad aca esto es una pesadilla. bueno si el pfsense me soporta bien voy a ir pasando de poco a los usuarios pero me gustaria mantener las ip de los servidores como estan actualmente para no complicarme tanto.

    al final resumiendo mi idea es mantener 2 o 3 tarjetas para lan

    Lan 1 = 192.168.1.0/24 v1
    Lan 2 = 192.168.2.0/24 v2
    Wan  = mi ip publica
    Dmz  = 137.137.0.0/16  ( como estas ip no salen a internet no tengo problemas ya que solo los servicios estan con nat a cada direccion de estas )

    ahora acepto recomendaciones para mejorar esto :)

    PD: siempre y cuando no sea cambiar el rango de los server



  • Entiendo … es razonable lo que dices ....



  • @bellera:

    Entiendo … es razonable lo que dices ....

    a todo esto maestro, tu crees que la mejor forma para no sobre cargar las tarjetas de red seria ir pasando una vlan por tarjeta de red en vez que jugar el rango c o b para meter todos los equipos en una misma red. mas vale crear mas subred que  sola red grande como esta hoy en dia :s . ahora como pregunte anteriormente por hardware estara bien con las

    Intel PRO/1000 MF Dual Port Server Adapter (82546)

    Intel PRO/1000 MT Dual Port Server Adapter (82546)

    Intel PRO/1000 MT Quad Port Server Adapter (82546EB)

    o algunas similares con la misma cantidad de modulos ya que todos los pc vienen con solo 3 puertitos ahora para red no dispongo de muchas tarjetas de red al menos que mandara a pedir un Fw tipo endian que vienen bastantes bocas. ahora la duda estas tarjetas funcionaran con placas madres de pc comun y corrientes. tengo dudas con lo que es respecto a hardware, ya que para mi las tarjetas de red siempre fueron pci.

    PD: me puedes mostrar la parte en que agregas los dns a mano porfa :)



  • Bueno, el tema del hard depende mucho del presupuesto …

    Y en cuanto al tipo de bus PCI, mirando en la web de Intel tendrás toda la información. Hay que asegurarse de no meter la pata:

    http://www.intel.com/products/server/adapters/pro1000mt-dualport/pro1000mt-dualport-overview.htm

    ¿Cuántas placas necesitas? Eso depende del tráfico. No es una cuestión de cuántos usuarios solo. También depende del volumen de información que manejen.

    Como pauta, http://www.hacom.net/catalog/network-appliances/pfsense

    La página te dará idea de cómo dimensionar tu/s pfSense/s.

    Saludos,

    Josep Pujadas



  • Josep una consultita, hay alguna manera de que lo que hago en el hosts con las maquinas windows lo pueda aplicar en el active directory para todas de una vez, digo algo asi como crear una politica de grupo y actualizar el hots de todos. estoy pensado en crear algun tipo de .bat que me haga esto a ver si se puede pero de todas formas conoces algun tipo solucion a esto, ya que el servidor que quiero que lo encuentre por nombre no lo puedo agregar al dominio



  • ¡Hola!

    Active Directory (Windows Server) o un Samba/CIFS haciendo de controlador de dominio permiten unir las máquinas Windows al dominio y este hace todo por tí: usuarios de dominio, nombres de máquina, perfiles móviles (roaming profiles), políticas de equipos/usuarios…

    Sin embargo para resolver nombres no es necesario todo eso. Sólo precisas un DNS y un WINS locales. Cuando montas un AD de Microsoft ya te monta esto…

    Yo uso a pfSense y a un FreeBSD que tengo como DNS locales. Y otro FreeBSD que tengo con Samba/CIFS me hace de WINS.

    Saludos,

    Josep Pujadas



  • @bellera:

    ¡Hola!

    Active Directory (Windows Server) o un Samba/CIFS haciendo de controlador de dominio permiten unir las máquinas Windows al dominio y este hace todo por tí: usuarios de dominio, nombres de máquina, perfiles móviles (roaming profiles), políticas de equipos/usuarios…

    Sin embargo para resolver nombres no es necesario todo eso. Sólo precisas un DNS y un WINS locales. Cuando montas un AD de Microsoft ya te monta esto…

    Yo uso a pfSense y a un FreeBSD que tengo como DNS locales. Y otro FreeBSD que tengo con Samba/CIFS me hace de WINS.

    Saludos,

    Josep Pujadas

    Josep, finalmente instale el active directory y el wins. solucione todo el problema con la resolucion de los nombres. ahora el paso siguiente creo que va ser usar ese windows 2003 como nuevo controlador de dominio e ir migrando el nt  :P. ahora antes de terminar de escribir quiero darte las gracias de verdad por toda la ayuda prestada y la orientacion que me fuiste dando para llegar a la solcuion. ahora el paso de migrar todos los usuarios al 2003 va ser algo lento pero no quiero exportar las cuentas del nt y pienso que las ire creando por el gran numero de cuentas que no se usan en el anterior.



  • ¡De nada y enhorabuena!

    Saludos,

    Josep Pujadas


Locked