Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Consulta por regla de firewall

    Español
    2
    12
    6127
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dementekuatiko last edited by

      tengo una pequeñana con las reglas en el firewall, cree una dmz todo bien pero solo un detalle. hay alguna forma que los equipos que estan en mi lan busquen a los de la dmz por nombre. me explico mejor

      lan = 192.168.1.0/24
      dmz= 137.137.0.0/16 se que este rango no es privado pero cuando llegue a mi trabajo estava asi, y cambiar 30 servidores es mucho cuando tienes mas de 400 usuarios apuntando a esas ips.

      equipos ejemplo

      137.137.1.44 = pcdmz

      hay aplicaciones que entro por web ejemplo

      http://pcdmz

      de esta forma no puedo entra porq no me reconoce los nombres en la otra red, asi que debo entrar http://137.137.1.44 de esta forma entro pero entra con errores asi que en el pc windows agrege en el archivo hosts 137.137.1.44 pcdmz y sin probelmas para buscar por nombres. el problema que tengo mas de 400 equipos y varias aplicaciones asi y es un lio hacer esto en todas las maquinas, alguien sabe como solucionar esto en el fw, deje que todo lo que viene por la lan –dmz en any pero aun asi no encuentro por nombre los equipos

      1 Reply Last reply Reply Quote 0
      • bellera
        bellera last edited by

        ¡Hola!

        Esto es un problema de DNS y si tienes máquinas con Samba/CIFS (compartición de archivos e impresoras en red según Windows) también es una cuestión de WINS (nombres NetBIOS).

        La forma más simple de resolverlo es que todas las máquinas empleen DHCP, con lo que pfSense pasará a ser su DNS. El propio DHCP registrará los nombres que pongas en el servicio DNS. Además, en el servicio DNS de pfSense se pueden añadir nombres "a mano". Cada interfase tiene su propio DHCP y DNS…

        Si tu red tiene muchas peticiones de nombres es conveniente contar con un servidor DNS adicional. El de pfSense es muy rápido pero la tabla de nombres es cortita. En la configuración de DHCP se pueden indicar DNS alternativos, en lugar de la IP de la interfase de pfSense.

        En el DHCP también se puede decir quien es el WINS. De esta manera el [Entorno de Red] funcionará en todas las subredes. Si no hay WINS las máquinas Windows no se ven los nombres NetBIOS más allá de su subred porque la primera que se pone en marcha se erige como el examinador de equipos. A menos que tengas un controlador de dominio (Active Directory), el cual ya se encarga de todo esto.

        No emplees el hosts de Windows porque como tu mismo dices, te volverás loco. Si me dices esto deduzco que no tienes AD (Active Directory).

        Saludos,

        Josep Pujadas

        1 Reply Last reply Reply Quote 0
        • D
          dementekuatiko last edited by

          @bellera:

          ¡Hola!

          Esto es un problema de DNS y si tienes máquinas con Samba/CIFS (compartición de archivos e impresoras en red según Windows) también es una cuestión de WINS (nombres NetBIOS).

          La forma más simple de resolverlo es que todas las máquinas empleen DHCP, con lo que pfSense pasará a ser su DNS. El propio DHCP registrará los nombres que pongas en el servicio DNS. Además, en el servicio DNS de pfSense se pueden añadir nombres "a mano". Cada interfase tiene su propio DHCP y DNS…

          Si tu red tiene muchas peticiones de nombres es conveniente contar con un servidor DNS adicional. El de pfSense es muy rápido pero la tabla de nombres es cortita. En la configuración de DHCP se pueden indicar DNS alternativos, en lugar de la IP de la interfase de pfSense.

          En el DHCP también se puede decir quien es el WINS. De esta manera el [Entorno de Red] funcionará en todas las subredes. Si no hay WINS las máquinas Windows no se ven los nombres NetBIOS más allá de su subred porque la primera que se pone en marcha se erige como el examinador de equipos. A menos que tengas un controlador de dominio (Active Directory), el cual ya se encarga de todo esto.

          No emplees el hosts de Windows porque como tu mismo dices, te volverás loco. Si me dices esto deduzco que no tienes AD (Active Directory).

          Saludos,

          Josep Pujadas

          no tengo active directory ahora podria levantar uno que seria menos trabajo qure configurar cada maquina. pero el active directory funcionara bien desde el rango 137.137.0.0/16 a la red 192.168.0.0/24? la verdad esa es la duda. bueno intentare con una maquina de prueba con Active directory y tambien con lo que me recomiendas arriba y te cuento. gracias por la ayuda

          1 Reply Last reply Reply Quote 0
          • bellera
            bellera last edited by

            ¡Hola de nuevo!

            Microsoft recomienda un controlador por subred, pero se puede montar uno para varias subredes si se manejan bien los enrutamientos, los servicios DNS y WINS…

            http://ws.arin.net/whois/?queryinput=137.137.0.0

            ¿Eres Boeing?

            Siempre direcciones privadas. Estás con un rango de IPs públicas. Y esto no cumple normas, por lo que puede ser origen de serios problemas.

            Saludos,

            Josep Pujadas

            1 Reply Last reply Reply Quote 0
            • D
              dementekuatiko last edited by

              @bellera:

              ¡Hola de nuevo!

              Microsoft recomienda un controlador por subred, pero se puede montar uno para varias subredes si se manejan bien los enrutamientos, los servicios DNS y WINS…

              http://ws.arin.net/whois/?queryinput=137.137.0.0

              ¿Eres Boeing?

              Siempre direcciones privadas. Estás con un rango de IPs públicas. Y esto no cumple normas, por lo que puede ser origen de serios problemas.

              Saludos,

              Josep Pujadas

              Ni cerca de ser Boing. pero como trabajo en un hospital hay muchos servidores que no dependen de mi cambiar el direccionamiento y ademas como hay muchas maquinas de rayos y de laboratorio que no tengo ni la mas minima idea de como configurar. ya que estas no usan windows, linux, mac o alguno tipo de sistema conocido por mi. me es complicado venir y cambiar el rango de una empresa que lleva 10 años trabajando con esto asi. y la verdad tengo varios problemas en la red y vengo viendo como separar todo este enrredo, desde cableado mal tirado que pasa por cables electricos, hasta como ver como separar la red y no afectar el funcionamiento de un hospital que debe trabajar las 24 horas al dia. por lo menos mi idea es de momento comenzar a trabajar con un rango de clase c para los usuarios y para los servidores seria lo ideal mantener las mismas direcciones. por otra parte tengo pensado  crear 3 vlan distintas para los usuarios, ya que actualemente tengo servidores y usuarios inalambricos y fijos en la misma red. de verdad aca esto es una pesadilla. bueno si el pfsense me soporta bien voy a ir pasando de poco a los usuarios pero me gustaria mantener las ip de los servidores como estan actualmente para no complicarme tanto.

              al final resumiendo mi idea es mantener 2 o 3 tarjetas para lan

              Lan 1 = 192.168.1.0/24 v1
              Lan 2 = 192.168.2.0/24 v2
              Wan  = mi ip publica
              Dmz  = 137.137.0.0/16  ( como estas ip no salen a internet no tengo problemas ya que solo los servicios estan con nat a cada direccion de estas )

              ahora acepto recomendaciones para mejorar esto :)

              PD: siempre y cuando no sea cambiar el rango de los server

              1 Reply Last reply Reply Quote 0
              • bellera
                bellera last edited by

                Entiendo … es razonable lo que dices ....

                1 Reply Last reply Reply Quote 0
                • D
                  dementekuatiko last edited by

                  @bellera:

                  Entiendo … es razonable lo que dices ....

                  a todo esto maestro, tu crees que la mejor forma para no sobre cargar las tarjetas de red seria ir pasando una vlan por tarjeta de red en vez que jugar el rango c o b para meter todos los equipos en una misma red. mas vale crear mas subred que  sola red grande como esta hoy en dia :s . ahora como pregunte anteriormente por hardware estara bien con las

                  Intel PRO/1000 MF Dual Port Server Adapter (82546)

                  Intel PRO/1000 MT Dual Port Server Adapter (82546)

                  Intel PRO/1000 MT Quad Port Server Adapter (82546EB)

                  o algunas similares con la misma cantidad de modulos ya que todos los pc vienen con solo 3 puertitos ahora para red no dispongo de muchas tarjetas de red al menos que mandara a pedir un Fw tipo endian que vienen bastantes bocas. ahora la duda estas tarjetas funcionaran con placas madres de pc comun y corrientes. tengo dudas con lo que es respecto a hardware, ya que para mi las tarjetas de red siempre fueron pci.

                  PD: me puedes mostrar la parte en que agregas los dns a mano porfa :)

                  1 Reply Last reply Reply Quote 0
                  • bellera
                    bellera last edited by

                    Bueno, el tema del hard depende mucho del presupuesto …

                    Y en cuanto al tipo de bus PCI, mirando en la web de Intel tendrás toda la información. Hay que asegurarse de no meter la pata:

                    http://www.intel.com/products/server/adapters/pro1000mt-dualport/pro1000mt-dualport-overview.htm

                    ¿Cuántas placas necesitas? Eso depende del tráfico. No es una cuestión de cuántos usuarios solo. También depende del volumen de información que manejen.

                    Como pauta, http://www.hacom.net/catalog/network-appliances/pfsense

                    La página te dará idea de cómo dimensionar tu/s pfSense/s.

                    Saludos,

                    Josep Pujadas

                    1 Reply Last reply Reply Quote 0
                    • D
                      dementekuatiko last edited by

                      Josep una consultita, hay alguna manera de que lo que hago en el hosts con las maquinas windows lo pueda aplicar en el active directory para todas de una vez, digo algo asi como crear una politica de grupo y actualizar el hots de todos. estoy pensado en crear algun tipo de .bat que me haga esto a ver si se puede pero de todas formas conoces algun tipo solucion a esto, ya que el servidor que quiero que lo encuentre por nombre no lo puedo agregar al dominio

                      1 Reply Last reply Reply Quote 0
                      • bellera
                        bellera last edited by

                        ¡Hola!

                        Active Directory (Windows Server) o un Samba/CIFS haciendo de controlador de dominio permiten unir las máquinas Windows al dominio y este hace todo por tí: usuarios de dominio, nombres de máquina, perfiles móviles (roaming profiles), políticas de equipos/usuarios…

                        Sin embargo para resolver nombres no es necesario todo eso. Sólo precisas un DNS y un WINS locales. Cuando montas un AD de Microsoft ya te monta esto…

                        Yo uso a pfSense y a un FreeBSD que tengo como DNS locales. Y otro FreeBSD que tengo con Samba/CIFS me hace de WINS.

                        Saludos,

                        Josep Pujadas

                        1 Reply Last reply Reply Quote 0
                        • D
                          dementekuatiko last edited by

                          @bellera:

                          ¡Hola!

                          Active Directory (Windows Server) o un Samba/CIFS haciendo de controlador de dominio permiten unir las máquinas Windows al dominio y este hace todo por tí: usuarios de dominio, nombres de máquina, perfiles móviles (roaming profiles), políticas de equipos/usuarios…

                          Sin embargo para resolver nombres no es necesario todo eso. Sólo precisas un DNS y un WINS locales. Cuando montas un AD de Microsoft ya te monta esto…

                          Yo uso a pfSense y a un FreeBSD que tengo como DNS locales. Y otro FreeBSD que tengo con Samba/CIFS me hace de WINS.

                          Saludos,

                          Josep Pujadas

                          Josep, finalmente instale el active directory y el wins. solucione todo el problema con la resolucion de los nombres. ahora el paso siguiente creo que va ser usar ese windows 2003 como nuevo controlador de dominio e ir migrando el nt  :P. ahora antes de terminar de escribir quiero darte las gracias de verdad por toda la ayuda prestada y la orientacion que me fuiste dando para llegar a la solcuion. ahora el paso de migrar todos los usuarios al 2003 va ser algo lento pero no quiero exportar las cuentas del nt y pienso que las ire creando por el gran numero de cuentas que no se usan en el anterior.

                          1 Reply Last reply Reply Quote 0
                          • bellera
                            bellera last edited by

                            ¡De nada y enhorabuena!

                            Saludos,

                            Josep Pujadas

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post

                            Products

                            • Platform Overview
                            • TNSR
                            • pfSense Plus
                            • Appliances

                            Services

                            • Training
                            • Professional Services

                            Support

                            • Subscription Plans
                            • Contact Support
                            • Product Lifecycle
                            • Documentation

                            News

                            • Media Coverage
                            • Press
                            • Events

                            Resources

                            • Blog
                            • FAQ
                            • Find a Partner
                            • Resource Library
                            • Security Information

                            Company

                            • About Us
                            • Careers
                            • Partners
                            • Contact Us
                            • Legal
                            Our Mission

                            We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                            Subscribe to our Newsletter

                            Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                            © 2021 Rubicon Communications, LLC | Privacy Policy