Problemas con la DMZ



  • Tengo instalado pfSense 2.1-BETA0 built on Sun Oct 14 18:11:22 EDT 2012 FreeBSD 8.3-RELEASE-p4 ,
    con 4 interfaces de red, configurado de la siguiente manera

    1.- WAN : ip publica GW = ip de mi router ADSL(bridge) es la gateway por defecto
    2.- DMZ : IP=192.168.25.2 RED:192.168.25.0/24  GW=ninguno
    3.- LAN 1: IP=192.168.26.1 RED:192.168.26.0/24
    4.- LAN 2: IP=192.168.86.1 RED:192.168.86.0/24

    Las reglas de la LAN1 y similar para la LAN 2
    ID    Proto   Source  Port  Destination Port  Gateway  Queue  Schedule  Description
              IPv4*  *  *          *       *      *           none               Acceso al inter y DMZ

    Aplique las configuraciones recomendadas en la DMZ
    ID  Proto  Source  Port  Destination   Port   Gateway  Queue  Schedule  Description 
    IPv4ICMP *         * *           *    *          none     Reponder a los Ping
            IPv4 * DMZ net * LAN net   *    *          none           Denegar el acceso de la DMZ a la LAN
            IPv4 * DMZ net * *           *    *          none           Acceso a todo desde la DMZ

    Obs: Los servidores en la DMZ tienen como Puerta de enlace a  192.168.25.1(FORTINET) y no a 192.168.25.2(pfsense)
    Pruebas iniciales : cambie las puertas de enlace con a 192.168.25.2 y puedo acceder a mis servidores desde las LAN.

    Problema: Con las puertas de enlace originales (192.168.25.1) como puedo hacer para acceder a la dmz?
    Los servidores hacen VPN con el fortinet y no es posible cambiar las GW.
    Gracias por cualquier tipo de ayuda



  • Esto de cualquier cosa IPv4 en protocolo debe ser nuevo en la 2.1, ¿no? Interesante que esté pero tus reglas son, a mi juicio, extremadamente abiertas.

    Bueno, concretemos tu consulta… Si tus servidores tienen como puerta 192.168.25.1 es normal que no tengas comunicación. La razón es bien simple. Vas pero no vuelves porque todo lo que no sea de la subred sale (o intenta salir) por la puerta indicada.

    Ante esto tienes dos soluciones:

    1. NAT Outbound de cada LAN hacia la DMZ, con lo que todas las peticiones tendrán como origen la IP de la interfase DMZ de pfSense. Es una solución pero tiene la pega de que no te enterarás de qué equipo LAN está haciendo la petición al servidor.

    2. Rutas estáticas en tus servidores, en las que se diga que las peticiones de las LAN tienen que ir por 192.168.25.2. Com supongo no tendrás muchos servidores pienso que es la mejor opción.

    3. Policy-routing en Fortinet. No sé si es posible. Algunos enrutadores son capaces de "rebotar" tráfico a otras IPs.

    Saludos,

    Josep Pujadas-Jubany



  • LO que tienes es lo que llaman "Ruteo asimetrico" :), interesante definicion.  Los paquetes salen por un lado pero regresan por otro .. malo malo.

    Lo recomendable como dice bellera es hacer nat  o ruteo que es mas elegante.

    Saludos


Log in to reply