No puedo ver equipos de dmz a lan cuando activo proxy transparente



  • Hola:

    En mi dmz tengo el servidor web y de correo, cuando habilito como proxy transparente para que tambien me funcionen los filtros, no me deja ver el correo ni la web desde la red LAN.  Es decir, no puedo ver los equipos de la DMZ.

    Cual es la regla para que los equipos de la LAN accedan a los servicios de la DMZ? Web, correo, filserver y otros.

    Saludos y desde ya, gracias



  • ¿Probaste con la casilla justo de debajo de la que activa la función transparente?

    Más una regla en LAN que permita ir a los http/https que tengas en DMZ.

    Ver imagen…

    Saludos,

    Josep Pujadas




  • hasta ahi todo bien, pero apenas tickeo "Allow users on interface" ya no puedo ver las paginas web ni el correo en los servidores ubicados en la DMZ….

    Esto solo locamente en la empresa, fuera no hay problemas



  • Allow users on interface sirve para indicar al proxy qué subred puede emplearlo.

    ¿Tienes puesto LAN o loopback?

    ¿Qué pones para acceder al servidor web? ¿IP o nombre?

    Si es nombre, ¿qué nombre? ¿Cómo resuelves los nombres?



  • Hola:

    • Esta puesto en LAN
    • Para acceder a las web tanto externa como interna ingresamos con nombre web
    • Tenemos un dns interno para las webs y el nombre de correo, la dns esta justamente en el server web hecha por BIND
    • Al poner Allow users sigo teniendo ping a los servidores pero no asi puedo entrar a las paginas ni por nombre ni por IP

    Debo asumir que no estoy viendo las paginas por la dns que obviamente esta bloqueada por estar en DMZ

    He creado reglas para aceptar todos puertos y todos los protocolos desde la LAN a la DMZ y viceversa, pero aun asi no puedo entrar localmente a la web ni correo, pero si puedo hacerlo desde fuera.

    Saludos



  • Por cierto, si tengo internet y filtro de contenidos, pero solo no puedo entrar a las paginas internas.



  • Creo que el problema tiene que estar en la resolución DNS.

    En  Services - Proxy server - General settings tienes Use alternate DNS-servers for the proxy-server para forzar el uso de los servidores DNS que desees para el servicio proxy (squid).

    ¿Cuando dices que intentas acceder por IP lo haces con la IP privada (la de la DMZ) o con la pública?

    Mira en la consola los logs de squid. Están en /var/squid/logs

    Saludos,

    Josep Pujadas



  • Autoriza en la DMZ el tráfico procedente de 127.0.0.1 (localhost) hacia tus servidores web. Igual falta esto. ¡Lo olvidé!



  • No he podido conseguir, el proxy me entrega un error:

    Mientras se intentaba traer el URL: http://www.helpnet.cl/

    Ha ocurrido el siguiente problema:

    Conexión fallida.

    El sistema ha devuelto el siguiente mensaje:

    (64) Host is down

    El equipo remoto o la red pueden estar fuera de servicio. Por favor, intente de nuevo la petición.
    Generated Fri, 20 Jan 2012 15:34:18 GMT by proxy.helpnet.cl (squid/2.7.STABLE9)

    La configuracion basica es:

    WAN 200.111.144.xxx
    LAN 192.168.1.xx
    DMZ 192.168.2.xx

    El proxy tiene la IP 192.168.1.1

    Tengo IP, entro por las IP locales pero al escribir el nombre del host (por ejemplo www.helpnet.cl) me entrega esos errores, ya he habilitado puertos, el localhost, incluso NAT pero nada, sigue sin funcionar.



  • Entro por las IP locales pero al escribir el nombre del host (por ejemplo www.helpnet.cl)

    Porque tu estación y/o proxy están resolviendo con la IP pública www.helpnet.cl y no puedes ir y volver desde dentro. Eso, a veces, depende de cómo opera el equipo de conexión a Internet.

    ¿Quién resuelve en tu instalación?

    ¿Services - DNS Forwarder está activo?

    ¿Tienes puestos tus nombres de Internet en ¿Services - DNS Forwarder - Domain Overrides con sus IPs privadas?

    ¿Probaste?

    En  Services - Proxy server - General settings tienes Use alternate DNS-servers for the proxy-server para forzar el uso de los servidores DNS que desees para el servicio proxy (squid).

    ¿Probaste?

    Autoriza en la DMZ el tráfico procedente de 127.0.0.1 (localhost) hacia tus servidores web. Igual falta esto. ¡Lo olvidé!

    Otra solución…

    En algunas instalaciones puede solucionarse el problema desmarcando la casilla System - Advanced - Firewall/NAT - Disable NAT Reflection. Con esto si tu pfSense tiene WAN pública o tu equipo de conexión a Internet lo permite podrás acceder por IP pública.

    Libro de pfSense

    7.5 NAT Reflection (página 143)
    7.5.2. Split DNS (página 144) -> Lo que te dije antes de la resolución y lo más recomendable.

    Algunos post sobre este mismo tema

    http://forum.pfsense.org/index.php/topic,43113.msg223228.html#msg223228
    http://forum.pfsense.org/index.php/topic,33289.msg173400.html#msg173400

    Saludos,

    Josep Pujadas


Locked