CRIAR DMZ NO PFSENSE



  • Boa tarde pessoal

    Gostaria da ajudas dos jedai para configurar uma DMZ no pfsense para um ip da lan é possivel ?

    abs

    Souza Linux



  • @souzalinux:

    Gostaria da ajudas dos jedai para configurar uma DMZ no pfsense para um ip da lan é possivel ?

    Configurar um ip da LAN em outra REDE não fica legal, é melhor você subir uma terceira interface no firewall e configurar o servidor em outra faixa de rede.



  • @marcelloc:

    @souzalinux:

    Gostaria da ajudas dos jedai para configurar uma DMZ no pfsense para um ip da lan é possivel ?

    Configurar um ip da LAN em outra REDE não fica legal, é melhor você subir uma terceira interface no firewall e configurar o servidor em outra faixa de rede.

    Isso mesmo. Questão básica de segurança! Crackers adoram um website. Se um deles achar um buraco ali, com o Servidor na mesma rede, seu firewall vai pro espaço…
    Melhor prevenir do que remediar.  8)



  • uma pergunta só que fora do contexto, ao meu ver quanto menos serviços em um firewall melhor correto? E seguro deixar o DHCP nele também pois hoje eu deixo ele em outro servidor mas agora como vou usar o pfSense + Squid + Captive Portal com 2 redes LAN acho que vai facilitar mais deixar o DHCP no pfSense mesmo, o que acham?



  • Sim, pode deixar o dhcp no pfsense. Configura ele só nas interfaces que de fato voce precisa.



  • @diegogyn:

    uma pergunta só que fora do contexto, ao meu ver quanto menos serviços em um firewall melhor correto?

    Conforme os colegas já lhe responderam… isso tudo é muito relativo!

    Veja que o "ideal" é deixar serviços de borda, na borda. E serviços de core de rede, na rede. Em outras palavras, você fará o serviço de roteamento num hardware de borda, e serviço de autenticação de usuários (PDC de rede) num hardware de core.

    O marcelloc já respondeu sua pergunta... você pode deixar o pfSense fazendo papel de DHCP Server da sua LAN sem nenhum problema (apenas limite as interfaces com as quais ele vai trabalhar). Contudo, se o teu cenário computacional tem um servidor AD, por exemplo, geralmente os sysadmins preferem integrar o serviço de DHCP ao AD (assim conseguem facilmente amarrar o usuário logado na rede a estação que ele usa ou usou). Procure sempre avaliar as necessidades e expectativas de cada cenário (não existem respostas únicas e padrões em infraestrutura de TI)!

    Outro detalhe importante é não saturar o hardware… Tem muita gente por aqui querendo rodar OpenVPN + Squid + SquidGuard + Snort + Captive Portal num hardware com processador i686 e 1GB de RAM. Obviamente que este tipo de coisas vai trazer problemas!

    Abraços!
    Jack


Locked