Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    A vueltas con una DMZ que no me funciona…

    Scheduled Pinned Locked Moved Español
    3 Posts 2 Posters 4.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tsjavaloyes
      last edited by

      Hola,

      Necesito ayuda para saber por qué una configuración DMZ no me funciona porque no doy con la solución incluso 'copiando' literalmente tutoriales que activan una DMZ en pfSense que rondan por Internet.

      Acabo de reconfigurar una máquina pfSense que está haciendo load balancing con dos ADSL para que tenga además una DMZ.

      Existen 3 tarjetas ya configuradas, que son:

      WAN:  192.168.1.253/24 con Gateway al router1 192.168.1.254
      WAN2: 192.168.2.253/24 con Gateway al router2 192.168.2.254
      LAN:    192.168.10.254/24

      He configurado la cuarta tarjeta de red con los siguientes datos:
      Optional 4 Interface -> Enable
      Description : DMZ
      Bridge with: none
      IP address: 192.168.20.1 sin gateway

      Dicha tarjeta va unida a un switch separado de la red local y he añadido en las reglas del Firewall, pestaña DMZ,  lo siguiente:

      Proto  Source    Port  Destination  Port  Gateway
          *    DMZ net    *          *          *        *
          *        *        *      DMZ net    *        *

      [Nota: Me parece que es una configuración "muy abierta" pero la he hecho así para quitarme problemas ahora y comprobar que funciona…]

      He añadido una máquina con una Ubuntu 10.04 Desktop al switch de la DMZ para realizar pruebas con la siguiente configuración de red:
        IP: 192.168.20.2/24
        Gateway: 192.168.20.1
        DNS:  192.168.20.1

      Desde la máquina Ubuntu:
        Hago ping a 192.168.20.1 y responde
        Hago ping a google.es y no responde (no navego)
        Hago ping a una maquina de la LAN (192.168.10.x) y no responde. (Este comportamiento específico es deseado)

      Desde una máquina de la LAN (192.168.10.x):
        Hago ping a 192.168.20.1 (la tarjeta de red de la DMZ) y responde
        Hago ping a 192.168.20.2 ( la tarjeta de red de la máquina Ubuntu) y responde
        Hago ping a google.es y responde

      Mi pretensión es que la DMZ funcione como tal y para ello había añadido en el propio Firewall reglas que aceptasen puertos (SSH, web, lo que sea) y lo redirigiesen, usando el NAT Port Forward del Firewall a la máquina correcta, en este caso a la Ubuntu de pruebas.

      ¿Por qué no me funciona la navegación desde la DMZ?

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        ¡Hola!

        La regla:

        Proto  Source    Port  Destination  Port  Gateway
            *    DMZ net    *          *          *        *

        dice que dejas salir todo por WAN. El tráfico de DMZ debería ir a Internet por WAN.

        Revisa la definición de la DMZ (rango/máscara) y que en WAN no tengas reglas "raras". De heho en las WAN no debería haber reglas a menos que tenga que haber tráfico entrante (servicios que estemos dando en Internet).

        Revisa que tengas NAT Outbound en automático o bien las líneas de NAT Outbound entradas a mano para la DMZ. Es un error frecuente.

        La segunda regla para la DMZ no sirve de nada, pues está incluída en la primera.

        Saludos,

        Josep Pujadas

        1 Reply Last reply Reply Quote 0
        • T
          tsjavaloyes
          last edited by

          Gracias por la respuesta…

          Las reglas que pues fueron una decisión "a la desesperada", porque no consigo hacer que funciona tal y como quiero. Actualmente tengo puestas las tres reglas que mencionan la mayoría de los tutoriales:

          pestaña de reglas DMZ:
          Proto  Source    Port  Destination  Gateway
            *    LAN net    *    DMZ net        *
            *    DMZ net    *    LAN net          *
            *    DMZ net    *    !LAN net        *

          aunque sigue sin funcionarme... Incluso tengo pedido el libro de pfSense para ver si de ahí saco un mayor conocimiento.

          Con respecto a las reglas de WAN, pues sí, tengo un montón de reglas porque hay servicios que debemos usar (SSH, VNC, puertos de tarjetas de administración remota de servidores Dell, L2TP, OpenVPN, etc...) pero no creo que influya porque también están al principio (para tener la seguridad que son las primeras en comprobarse) las reglas que dirigen hacia el servicio SSH y web de la máquina Ubuntu de pruebas que comenté en el post. También en NAT tengo sus respectivas traslaciones.

          Sé que debe ser mal planteamiento mío y falta de comprensión de algún concepto que se me escapa... pero todo es seguir intentándolo...

          Saludos

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.