Reglas de firewall con balanceador



  • Hola,

    Tengo un par de máquinas con pfsense; una de ellas -PFSENSE1- exclusivamente balanceando dos ADSL y la otra -PFSENSE2- haciendo de proxy transparente siguiendo este esquema:

    /–---ROUTER1---\                                           
            |                        |----|                                     
    INTERNET                              PFSENSE1---PFSENSE2--------------------------| RED INTERNA
            |                        |----|
              -----ROUTER2---/

    Donde ROUTER1 y ROUTER2 redirecciona todos los puertos a PFSENSE1 para que sea éste el que se encargue de las reglas de cortafuegos (básicamente convierto el router en modem).

    El por qué lo hice así (dos pfsense) es porque después de darme cabezazos intentando hacerlo con una sola máquina leí en el foro que no se podía y que había que tener máquinas separadas (al menos en la rama 1.2.x).

    Lo que quiero hacer es que ciertos puertos sean redireccionados a ciertos equipos internos de la red. Por ejemplo el TCP 10000 que vaya a 192.168.1.35 y el UDP 20000 a 192.168.1.95

    Evidentemente al estar PFSENSE1 balanceando tengo WAN1 y WAN2 para aplicar reglas y lo que estoy buscando es algún mecanismo para decirle solo en un sitio las reglas a comprobar.

    ¿Existe alguna forma de hacerlo o me toca duplicar dichas reglas en WAN1 y WAN2?

    ¿Es factible hacer un par de reglas en WAN1 y WAN2 que redireccione -otra vez- todo lo que reciba y lo envíe a PFSENSE2 para añadir las reglas en su WAN1 y así solo tener una entrada?

    Ando algo perdido de cómo plantearlo de la mejor manera posible. Si alguien me echa un cable se agradecería.



  • Lo que quiero hacer es que ciertos puertos sean redireccionados a ciertos equipos internos de la red. Por ejemplo el TCP 10000 que vaya a 192.168.1.35 y el UDP 20000 a 192.168.1.95

    Estás haciendo balanceo para salir.

    Si quieres hacer esto para entrar…

    Con hacer NAT Port Forward en los pfSense es suficiente. Es decir en el pfSense que tienes como balanceador haces NAT hacia la WAN del pfSense que tienes como squid. Y en este segundo pfSense haces NAT hacia las máquinas internas.

    Ahí no interviene para nada el balanceo saliente.

    Saludos,

    Josep Pujadas



  • Tienes razón… hago balanceo para salir y no influye para nada ese balanceo para quien quiera entrar, pero eso es lo que quería hacer: que cuando entrase alguien -sea cual sea la IP de las dos ADSL que le diese- hiciese firewall y NAT de manera correcta.

    Es decir: Tengo dos IP fijas. Para "equilibrar un poco" a determinada gente le doy la IPFija1 o la IPFija2 según me convenga, y me apetecía "escribir solo una vez" las reglas en vez de separarlas según sea WAN1 o WAN2.

    Entre otras cosas es porque va a haber gente a la que debo enseñar a crear reglas. Actualmente uso una Debian + iptables y eso de cambiar un archivo de texto y aprenderse unas reglas les cuesta y no están por la labor. Desgraciadamente son usuarios muy a costumbrados a Windows. Ratón y clicks. Lo demás "es fastigoso, arcano, dificil,...." y todas las pegas que usuarios de entornos gráficos sueltan... Por eso escojí pfSense: fiablidad, potencia, flexibilidad y -sobretodo- un entorno gráfico.

    Siento haberme explicado antes tan mal.

    Un saludo.



  • Es decir: Tengo dos IP fijas. Para "equilibrar un poco" a determinada gente le doy la IPFija1 o la IPFija2 según me convenga, y me apetecía "escribir solo una vez" las reglas en vez de separarlas según sea WAN1 o WAN2.

    Si quieres entrada por partida doble hay que hacer el NAT Port Forward en cada una de las WAN del equipo que tiene las ADSL. No hay otra forma de hacerlo.

    Saludos,

    Josep Pujadas


Locked