DMZ зона, подсеть белых IP
-
Доброго времени суток! Не могу найти внятной информации по тому как правильно сделать DMZ зону.
Имеем:
1. Белый статический адрес от провайдера 85.10.A.186
2. Диапазон дополнительных белых адресов 85.10.C.129 - 85.10.C.139На сервере с адресом WAN - 85.10.A.186 имеется 3 сетевых интерфейса
LAN - 192.168.0.0/24
DMZ - 85.10.C.129В сети DMZ еще 2 сервера
85.10.C.133
85.10.C.137
На каждом рабочие 100% правила для внутренних LAN подсетей
(ранее стояла старая cisco, настроенная с DMZ областью, все работало отлично, все порты открытые
на 85.10.C.133 и 85.10.C.137 работали корректно, как обычные внешние сервера)По найденным инструкциям создано правило для DMZ интерфейса:
IPv4 * DMZ net * ! LAN net * * none
Получить доступа к OpenVPN серверу на машине 85.10.C.137 не удается. Не пойму где блокируется.
-
На WAN нужно разрешить доступ в сеть 85.10.C.129/?? - какая маска, кстати?
Pass IPv4 * * * 85.10.C.129/?? * * none
-
Об этом я тоже подумал, правило во вкладке WAN сделал:
IPv4 * DMZ net * * * * none
Маска 28
Да, кстати, эффекта это не дало, и клиенты LAN сети сервера 85.10.C.133 видят через 2ip и остальные сервисы, что у них внешний IP - 85.10.A.186, а должны видеть 85.10.C.133.
-
В правиле DMZ net должна стоять в столбце Destination
Source, Source Port и Destination Port должны быть * -
клиенты LAN сети сервера 85.10.C.133 видят через 2ip и остальные сервисы, что у них внешний IP - 85.10.A.186, а должны видеть 85.10.C.133.
Это значит, что работает Outbound NAT для 85.10.C.128/28
Переведите Outbound NAT в Manual Outbound NAT rule generation и удалите правила для DMZ net - они не нужны -
Кажется понял, спасибо! Вечером попробую, отпишусь.
-
Это значит, что работает Outbound NAT для 85.10.C.128/28
Переведите Outbound NAT в Manual Outbound NAT rule generation и удалите правила для DMZ net - они не нужныТочно, удалил два созданных автоматом правила, и все заработало как нужно! Спасибо за помощь!
-
Рано обрадовался.. Доступа к серверам в подсети нет. Неужели на Pfsense с DMZ придется двойной проброс делать? Получается - на сервере, находящемся в DMZ открытые порты так и не работают. Хотя на компах в LAN виден как внешний: 85.10.C.133
-
Доступа к серверам в подсети нет
А если правило в fw добавить ?
-
Доступа к серверам в подсети нет
А если правило в fw добавить ?
А какое? У меня получается на основном я делаю проброс например Port:21 до 85.10.C.133, а на 85.10.C.133 уже до адреса в локальной сети. Хотя логично было бы создать правило на 85.10.C.133, и доступ появился, как избежать дополнительного проброса? Тоесть DMZ и не DMZ пока что
-
Создал правило в PF открыть в DMZ-subnet 1-65000 порты… ;D Конечно все сразу работает, но это же костыль?
-
Эээ, а если вкл. логирование fw, обращаться к DMZ серверам извне и смотреть логи?
-
Тут моих знаний уже явно не хватает. В логах вижу что просто блочит мой запрос на 1194.