Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Diseño de red

    Español
    2
    4
    2408
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dementekuatiko last edited by

      Hola a todos, saben que tengo una duda y no se si es recomendable hacer esto. Tengo un pfsense con 4 tarjetas de red
      pc1
      wan-200.xxx.xxx.xxx
      lan -192.168.1.xxx (usuarios)
      dmz - 192.168.0.xxx servidores con servicios de internet (web, ftp y  mail )
      opt2–192.168.2.xxx  (sql, oracle, erp, dc,etc)

      la duda es si es recomendable hacer que los equipos de mi lan se conecten a la red  op2 (servidores varios) por mediante de nat para solo autorizar los puertos que necesita cada aplicacion y que no tengan acceso ningun puerto mas por seguridad. estado probando y corren bastante bien las aplicaciones de esta forma, pero al hacerle una pregunta a un persona certificada en microsoft por los puertos que debo usar para active directory me dice que es un pesimo diseño hacer esto. entonces en este caso deberia dejar los servidores varios dentro del rango de mi lan para no pasar por el fw y que tengan acceso todos los usuarios a todos los puertos. o sigo con mi idea ??

      1 Reply Last reply Reply Quote 0
      • bellera
        bellera last edited by

        ¡Hola!

        Bueno, Microsoft siempre ha recomendado un AD por subred. Principal y secundarios. Pero no es imprescindible si aseguras que todas las subredes tengan como DNS y WINS tu AD y permitas el tráfico necesario entre una subred y otra.

        Entre subredes del propio pfSense no es necesario NAT alguno. Son las reglas que tienes en cada interfase que dicen cómo se puede ir de una red a otro.

        Piensa que las reglas tienen que hacerse en función de quién origina el tráfico. Por ejemplo, si los equipos en OPT1 tienen que ir a un servidor web en la LAN basta una regla en OPT1 que autorice el tráfico con destino a la IP del servidor en LAN y puerto 80. Como verás esto no es un NAT, simplemente un permiso.

        Saludos,

        Josep Pujadas

        1 Reply Last reply Reply Quote 0
        • D
          dementekuatiko last edited by

          @bellera:

          ¡Hola!

          Bueno, Microsoft siempre ha recomendado un AD por subred. Principal y secundarios. Pero no es imprescindible si aseguras que todas las subredes tengan como DNS y WINS tu AD y permitas el tráfico necesario entre una subred y otra.

          Entre subredes del propio pfSense no es necesario NAT alguno. Son las reglas que tienes en cada interfase que dicen cómo se puede ir de una red a otro.

          Piensa que las reglas tienen que hacerse en función de quién origina el tráfico. Por ejemplo, si los equipos en OPT1 tienen que ir a un servidor web en la LAN basta una regla en OPT1 que autorice el tráfico con destino a la IP del servidor en LAN y puerto 80. Como verás esto no es un NAT, simplemente un permiso.

          Saludos,

          Josep Pujadas

          Gracias otra vez Josep. Entonces no es tan mala idea dejar las cosas como tenia pensado para evitar accesos no deseados. por otra parte la consola de administracion de wsus de mi active directory. me muestra los equipos con la puerta de enlace  de mi opt1, para evitar esto crees que deberia colocarla en modo Bridge ?

          1 Reply Last reply Reply Quote 0
          • bellera
            bellera last edited by

            ¡Hola de nuevo!

            la consola de administracion de wsus de mi active directory. me muestra los equipos con la puerta de enlace  de mi opt1, para evitar esto crees que deberia colocarla en modo Bridge ?

            No. Si pones la interfase en modo bridge quiere decir que están en la misma subred, aunque seguirás teniendo la posibilidad de poner reglas.

            Yo las dejaría en modo "normal", como router. Y revisa las reglas que permiten ir de una red a otra, pensando que lo que manda siempre es la entrada en cada interfase.

            En otras palabras, tienes más cosas autorizadas de las que deseas.

            Saludos,

            Josep Pujadas

            1 Reply Last reply Reply Quote 0
            • First post
              Last post