Ping entre DMZ e LAN



  • Colegas!

    Tenho o PfSense, com uma rede LAN (191.1.91.1) e uma DMZ (10.1.72.1), com computadores ligados nelas. Consigo pingar de um pc na LAN para o ip da DMZ, e vice-versa. Agora, se eu quiser pingar um computador ligado à DMZ partindo da LAN não consigo.

    Mostro a vocês minhas regras.

    Abraços!
    ![Sem título.jpg](/public/imported_attachments/1/Sem título.jpg)
    ![Sem título.jpg_thumb](/public/imported_attachments/1/Sem título.jpg_thumb)



  • @jonathacardoso:

    Tenho o PfSense, com uma rede LAN (191.1.91.1) e uma DMZ (10.1.72.1), com computadores ligados nelas. Consigo pingar de um pc na LAN para o ip da DMZ, e vice-versa. Agora, se eu quiser pingar um computador ligado à DMZ partindo da LAN não consigo.

    Jonathacardoso…

    Vc criou a regra na LAN para o proto ICMP da lan para any, mas não criou na DMZ liberando o ICMP para any...
    A regra deve ser criada na rede de onde se origina o trafego. no seu caso nas 2... LAN e DMZ

    []s



  • Então, no caso, eu tenho que criar quatro regras:
    -> Na LAN para any
    -> NA LAN liberando ICMP para any
    -> Na DMZ para any
    -> Na DMZ liberando ICMP para any
    É isso?

    Assim vou poder pingar entre máquinas da LAN para máquinas da DMZ e vice-versa?



  • Para o ping, só as regras de ICMP são suficientes



  • Amigos, fiz as seguintes regras:

    DMZ:
    ICMP DMZ net * *         * * none
    ICMP *         * DMZ net * * none  
    LAN:
            ICMP *         * LAN net      * * none  
            ICMP LAN net * *           * * none

    E continua não pingando.

    Alguém sabe o pq?



  • @jonathacardoso:

    Amigos, fiz as seguintes regras:

    DMZ:
    ICMP DMZ net * *          * * none
    ICMP *          * DMZ net * * none  
    LAN:
            ICMP *          * LAN net      * * none  
             ICMP LAN net * *           * * none

    E continua não pingando.

    Alguém sabe o pq?

    Pq suas regras ainda estao errada… veja... basta 1 regra apenas em cada rede de ORIGEM....

    DMZ:
    ICMP DMZ net * *          * * none

    LAN:
             ICMP LAN net * *           * * none

    []s



  • @sosmicro:

    @jonathacardoso:

    Amigos, fiz as seguintes regras:

    DMZ:
    ICMP DMZ net * *          * * none
    ICMP *          * DMZ net * * none  
    LAN:
            ICMP *          * LAN net      * * none  
             ICMP LAN net * *           * * none

    E continua não pingando.

    Alguém sabe o pq?

    Pq suas regras ainda estao errada… veja... basta 1 regra apenas em cada rede de ORIGEM....

    DMZ:
    ICMP DMZ net * *          * * none
     
    LAN:
             ICMP LAN net * *           * * none

    []s

    Mas eu tentei assim também e não funcionou….

    Reitero: Tenho um pc ligado a LAN e um PC ligado a DMZ e quero pingar entre eles, de um pro outro, e não consigo. Eu consigo pingar pro IP da LAn e pro da DMZ, mas pra um PC específico, não.



  • Pergunto: Isso pode necessitar alguma regra de NAT?

    Não tenho nenhuma regra de NAT.



  • @jonathacardoso:

    Não tenho nenhuma regra de NAT.

    Você desabilitou as regras de nat ou deixou no automatico?

    suas maquinas de teste estão com firewall habilitado e por exemplo filtrando ping?

    Já monitorou via tcpdump  na console/ssh do firewall para indentificar onde o pacote está parando?



  • @marcelloc:

    @jonathacardoso:

    Não tenho nenhuma regra de NAT.

    Você desabilitou as regras de nat ou deixou no automatico?

    suas maquinas de teste estão com firewall habilitado e por exemplo filtrando ping?

    Já monitorou via tcpdump  na console/ssh do firewall para indentificar onde o pacote está parando?

    Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.

    As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense. Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.



  • @jonathacardoso:

    Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.

    Então tem nat habilitado  ;)

    O outbound nat automatico faz nat para qualquer interface com gateway definido

    @jonathacardoso:

    As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense.

    Não recomendo em hipótese nenhuma desabilitar o firewall da estação local. Já vi várias redes indo para o saco por não ter qualquer proteção na estação de trabalho.

    @jonathacardoso:

    Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.

    tcpdump é o proximo passo. debug de verdade, na minha opinião pessoal, se faz na console/ssh.



  • @marcelloc:

    @jonathacardoso:

    Não incluí nenhuma regra no NAT. O único automático habilitado é o Automatic outbound NAT rule generation.

    Então tem nat habilitado  ;)

    O outbound nat automatico faz nat para qualquer interface com gateway definido

    @jonathacardoso:

    As máquinas de teste não estão com FW habilitado, pois estão usando o FW do pfSense.

    Não recomendo em hipótese nenhuma desabilitar o firewall da estação local. Já vi várias redes indo para o saco por não ter qualquer proteção na estação de trabalho.

    @jonathacardoso:

    Tanto é, que todos os pings funcionam - inclusive de uma máquina da LAN para, p.ex. 10.1.72.1 ou da DMZ para 191.1.91.1. Agora, da máquina 10.1.72.240, não consigo pingar para a 191.1.91.33, por exemplo.

    tcpdump é o proximo passo. debug de verdade, na minha opinião pessoal, se faz na console/ssh.

    Corrigindo: elas estão, sim, como FW habilitado. Claro que eu não desabilitaria, mesmo tendo o FW do pfSense.

    Vou testar uns tcpdump e qualquer coisa retorno.



  • Amigos, não sei fazer muito bem tcpdump, mas tive o seguinte resultado inicial.
    Abri dois consoles e em um fiz um tcpdump -i placa_rede_lan icmp e no outro o mesmo comando, mas com a placa_rede_dmz.

    Abri dois prompts em cada computador e comecei a testar os pings.

    No computador da LAN (191.1.91.51) fiz o ping pra DMZ (10.1.72.1) e pra máquina dentro dela (72.212).
    No primeiro caso, o echo request apareceu no tcpdump da placa_lan, seguido de echo reply.
    No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

    No computador da DMZ (10.1.72.212) fiz o ping pra LAN (191.1.91.1) e pra máquina dentro dela (91.51)
    No primeiro caso, o echo request apareceu no tcpdump da placa_dmz, seguido de echo reply.
    No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

    Alguém pode me explicar o que isso pode dizer e se preciso testar algo a mais no tcpdump?



  • @jonathacardoso:

    No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

    Se o request esta saíndo pela interface de destino, significa que o pacote está indo para a estação de destino mas não esta voltado.
    se o reply aparece na interface de destino mas não na interface de origem, significa que o pacote esta sem permissão ou pode existir uma regra forçando o trafego para outro gateway



  • @marcelloc:

    @jonathacardoso:

    No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply.

    Se o request esta saíndo pela interface de destino, significa que o pacote está indo para a estação de destino mas não esta voltado.
    se o reply aparece na interface de destino mas não na interface de origem, significa que o pacote esta sem permissão ou pode existir uma regra forçando o trafego para outro gateway

    No caso, Marcelo, os pings todos aparecem só na interface de origem, tanto o request quanto o reply. Entretanto, o ping entre as estações da DMZ e da LAN, vice-versa, aparece os quatro requests tanto na interface de origem como na de destino. Neste caso, o que pode ser?

    Não tenho noção, amigos!


Locked