Nat su dmz



  • Salve
    Sono al mio primo post, quindi perdonate se faccio domande banali o che hanno già avuto risposta.

    Sto cercando di costruire la mia la proteggendola da un pfsense.
    La mia lan non è banalissima, ma tant'è…
    Per semplificare la situazione, direi che nella mia rete è composta dalla sezione LAN (10.48.0.0/22), WAN (37.207.168.x/28) e DMZ (192.168.0.0/24).
    Sulla DMZ ho come unica macchina un mail server, che deve anche essere pubblicato con IP pubblico ben preciso e diverso da quello con cui escono sul web gli utenti.
    Ho installato il pfsense e riesco a uscire su internet ma non riesco ad accedere dalla LAN alla DMZ e non so come pubblicare l'indirizzo 192.168.0.19 su IP pubblico 37.207.168.x+2.
    Immagino di dover impostare qualche regola sul nat, però ci sto perdendo la testa e non riesco a cavarci i piedi.
    Qualcuno mi può dare una mano segnalandomi qualche HowTo o mettendo qualche immagine di configurazioni?
    Grazie infinite



  • Ciao,
    per usare più ip pubblici puoi seguire quest'articolo: http://www.pfsenseitaly.com/2012/11/come-utilizzare-ip-pubblici-aggiuntivi.html

    Per quanto riguarda la navigazione dalla lan alal dmz devi andare in Rules > Lan e creare una regola che permette di passare a tutti i protocolli, provenienti da qualsiasi indirizzo e diretti verso la subnet della dmz.

    Ciao Fabio



  • Grazie per la risposta.
    Ho provato a fare come mi hai suggerito, ovvero di creare una regola.
    La videata della regola è quella allegata, eppure dalla LAN non riesco tutt'ora a pingare una macchina che è nella DMZ mentre il pfSense la pinga.
    Dove sbaglio?




  • Con quella regola il ping (ICMP) non passa, visto che hai messo solo protocolli TCP\UDP.
    Devi mettere any in quella casella..



  • Guardando la videata di quella regola, dopo averla pubblicata qui, ho capito anch'io che poteva esserci il problema del ICMP ed ho provveduto subito a cambiarla.
    Ma il risultato non è cambiato.
    Colto dal dubbio ho anche fatto un ulteriore regola, uguale ma sull'interfaccia DMZ.
    Nuovamente non è cambiato il risultato: dalla una macchina nella lan non riesco a comunicare con una macchina nella DMZ.

    Di seguito le due videate






  • Nei log del firewall vedi qualche block?



  • Ci dev'essere qualcos'altro che mi sfugge, perchè anche la guida per pubblicare un IP col NAT 1:1 a me non funzia.
    Ovvio che il server da pubblicare risiede nella DMZ.
    Help!



  • Nei log non vedo nulla che dica che viene bloccato il traffico.
    Quantomeno se vado su status -> system logs -> firewall non vedo l'ip della mia macchina (quella da cui faccio partire il ping) come source.

    Ho voluto anche fare un altra prova. Ho provato a seguire la guida per pubblicare l'ip, poi sono andato su un free-proxy francese ed ho provato a navigare su quell'ip. Ovviamente la navigazione non è andata a buon termine, ma anche in questo caso non c'e' stato nulla nel log.
    Peraltro, proprio facendo quella prova, avevo sbagliato a digitare l'ip e anzichè scrivere quello del server ho scritto quello con cui esco. E in questo caso il log mi ha riportato il blocco:

    • Sep 9 12:36:52 WAN_FIBRA 46.105.18.32:41983 37.207.x.62:80 TCP:S

    Dove 46.105.18.32 era il proxy e 37.207.x.62 è l'indirizzo da cui esco.
    Ho provato a pubblicare un webserver all'indirizzo 37.207.x.60 ma il proxy non si connette e nei log non compare comunque nulla.
    Spero di essermi riuscito a spiegare.