Diseño de red

dementekuatiko

Hola a todos, saben que tengo una duda y no se si es recomendable hacer esto. Tengo un pfsense con 4 tarjetas de red
pc1
wan-200.xxx.xxx.xxx
lan -192.168.1.xxx (usuarios)
dmz - 192.168.0.xxx servidores con servicios de internet (web, ftp y  mail )
opt2–192.168.2.xxx  (sql, oracle, erp, dc,etc)

la duda es si es recomendable hacer que los equipos de mi lan se conecten a la red  op2 (servidores varios) por mediante de nat para solo autorizar los puertos que necesita cada aplicacion y que no tengan acceso ningun puerto mas por seguridad. estado probando y corren bastante bien las aplicaciones de esta forma, pero al hacerle una pregunta a un persona certificada en microsoft por los puertos que debo usar para active directory me dice que es un pesimo diseño hacer esto. entonces en este caso deberia dejar los servidores varios dentro del rango de mi lan para no pasar por el fw y que tengan acceso todos los usuarios a todos los puertos. o sigo con mi idea ??

bellera

¡Hola!

Bueno, Microsoft siempre ha recomendado un AD por subred. Principal y secundarios. Pero no es imprescindible si aseguras que todas las subredes tengan como DNS y WINS tu AD y permitas el tráfico necesario entre una subred y otra.

Entre subredes del propio pfSense no es necesario NAT alguno. Son las reglas que tienes en cada interfase que dicen cómo se puede ir de una red a otro.

Piensa que las reglas tienen que hacerse en función de quién origina el tráfico. Por ejemplo, si los equipos en OPT1 tienen que ir a un servidor web en la LAN basta una regla en OPT1 que autorice el tráfico con destino a la IP del servidor en LAN y puerto 80. Como verás esto no es un NAT, simplemente un permiso.

Saludos,

Josep Pujadas

dementekuatiko

@bellera:

¡Hola!

Bueno, Microsoft siempre ha recomendado un AD por subred. Principal y secundarios. Pero no es imprescindible si aseguras que todas las subredes tengan como DNS y WINS tu AD y permitas el tráfico necesario entre una subred y otra.

Entre subredes del propio pfSense no es necesario NAT alguno. Son las reglas que tienes en cada interfase que dicen cómo se puede ir de una red a otro.

Piensa que las reglas tienen que hacerse en función de quién origina el tráfico. Por ejemplo, si los equipos en OPT1 tienen que ir a un servidor web en la LAN basta una regla en OPT1 que autorice el tráfico con destino a la IP del servidor en LAN y puerto 80. Como verás esto no es un NAT, simplemente un permiso.

Saludos,

Josep Pujadas

Gracias otra vez Josep. Entonces no es tan mala idea dejar las cosas como tenia pensado para evitar accesos no deseados. por otra parte la consola de administracion de wsus de mi active directory. me muestra los equipos con la puerta de enlace  de mi opt1, para evitar esto crees que deberia colocarla en modo Bridge ?

bellera

¡Hola de nuevo!

la consola de administracion de wsus de mi active directory. me muestra los equipos con la puerta de enlace  de mi opt1, para evitar esto crees que deberia colocarla en modo Bridge ?

No. Si pones la interfase en modo bridge quiere decir que están en la misma subred, aunque seguirás teniendo la posibilidad de poner reglas.

Yo las dejaría en modo "normal", como router. Y revisa las reglas que permiten ir de una red a otra, pensando que lo que manda siempre es la entrada en cada interfase.

En otras palabras, tienes más cosas autorizadas de las que deseas.

Saludos,

Josep Pujadas