A vueltas con una DMZ que no me funciona…

tsjavaloyes

Hola,

Necesito ayuda para saber por qué una configuración DMZ no me funciona porque no doy con la solución incluso 'copiando' literalmente tutoriales que activan una DMZ en pfSense que rondan por Internet.

Acabo de reconfigurar una máquina pfSense que está haciendo load balancing con dos ADSL para que tenga además una DMZ.

Existen 3 tarjetas ya configuradas, que son:

WAN:  192.168.1.253/24 con Gateway al router1 192.168.1.254
WAN2: 192.168.2.253/24 con Gateway al router2 192.168.2.254
LAN:    192.168.10.254/24

He configurado la cuarta tarjeta de red con los siguientes datos:
Optional 4 Interface -> Enable
Description : DMZ
Bridge with: none
IP address: 192.168.20.1 sin gateway

Dicha tarjeta va unida a un switch separado de la red local y he añadido en las reglas del Firewall, pestaña DMZ,  lo siguiente:

Proto  Source    Port  Destination  Port  Gateway
    *    DMZ net    *          *          *        *
    *        *        *      DMZ net    *        *

[Nota: Me parece que es una configuración "muy abierta" pero la he hecho así para quitarme problemas ahora y comprobar que funciona…]

He añadido una máquina con una Ubuntu 10.04 Desktop al switch de la DMZ para realizar pruebas con la siguiente configuración de red:
  IP: 192.168.20.2/24
  Gateway: 192.168.20.1
  DNS:  192.168.20.1

Desde la máquina Ubuntu:
  Hago ping a 192.168.20.1 y responde
  Hago ping a google.es y no responde (no navego)
  Hago ping a una maquina de la LAN (192.168.10.x) y no responde. (Este comportamiento específico es deseado)

Desde una máquina de la LAN (192.168.10.x):
  Hago ping a 192.168.20.1 (la tarjeta de red de la DMZ) y responde
  Hago ping a 192.168.20.2 ( la tarjeta de red de la máquina Ubuntu) y responde
  Hago ping a google.es y responde

Mi pretensión es que la DMZ funcione como tal y para ello había añadido en el propio Firewall reglas que aceptasen puertos (SSH, web, lo que sea) y lo redirigiesen, usando el NAT Port Forward del Firewall a la máquina correcta, en este caso a la Ubuntu de pruebas.

¿Por qué no me funciona la navegación desde la DMZ?

bellera

¡Hola!

La regla:

Proto  Source    Port  Destination  Port  Gateway
    *    DMZ net    *          *          *        *

dice que dejas salir todo por WAN. El tráfico de DMZ debería ir a Internet por WAN.

Revisa la definición de la DMZ (rango/máscara) y que en WAN no tengas reglas "raras". De heho en las WAN no debería haber reglas a menos que tenga que haber tráfico entrante (servicios que estemos dando en Internet).

Revisa que tengas NAT Outbound en automático o bien las líneas de NAT Outbound entradas a mano para la DMZ. Es un error frecuente.

La segunda regla para la DMZ no sirve de nada, pues está incluída en la primera.

Saludos,

Josep Pujadas

tsjavaloyes

Gracias por la respuesta…

Las reglas que pues fueron una decisión "a la desesperada", porque no consigo hacer que funciona tal y como quiero. Actualmente tengo puestas las tres reglas que mencionan la mayoría de los tutoriales:

pestaña de reglas DMZ:
Proto  Source    Port  Destination  Gateway
  *    LAN net    *    DMZ net        *
  *    DMZ net    *    LAN net          *
  *    DMZ net    *    !LAN net        *

aunque sigue sin funcionarme... Incluso tengo pedido el libro de pfSense para ver si de ahí saco un mayor conocimiento.

Con respecto a las reglas de WAN, pues sí, tengo un montón de reglas porque hay servicios que debemos usar (SSH, VNC, puertos de tarjetas de administración remota de servidores Dell, L2TP, OpenVPN, etc...) pero no creo que influya porque también están al principio (para tener la seguridad que son las primeras en comprobarse) las reglas que dirigen hacia el servicio SSH y web de la máquina Ubuntu de pruebas que comenté en el post. También en NAT tengo sus respectivas traslaciones.

Sé que debe ser mal planteamiento mío y falta de comprensión de algún concepto que se me escapa... pero todo es seguir intentándolo...

Saludos