DMZ зона, подсеть белых IP



  • Доброго времени суток! Не могу найти внятной информации по тому как правильно сделать DMZ зону.

    Имеем:
    1. Белый статический адрес от провайдера 85.10.A.186
    2. Диапазон дополнительных белых адресов 85.10.C.129 - 85.10.C.139

    На сервере с адресом WAN - 85.10.A.186 имеется 3 сетевых интерфейса
    LAN - 192.168.0.0/24
    DMZ - 85.10.C.129

    В сети DMZ еще 2 сервера
    85.10.C.133
    85.10.C.137
    На каждом рабочие 100% правила для внутренних LAN подсетей
    (ранее стояла старая cisco, настроенная с DMZ областью, все работало отлично, все порты открытые
    на 85.10.C.133 и 85.10.C.137 работали корректно, как обычные внешние сервера)

    По найденным инструкциям создано правило для DMZ интерфейса:

    IPv4 * DMZ net * ! LAN net * * none

    Получить доступа к OpenVPN серверу на машине 85.10.C.137 не удается. Не пойму где блокируется.



  • На WAN нужно разрешить доступ в сеть 85.10.C.129/?? - какая маска, кстати?

    Pass IPv4 *    *    *    85.10.C.129/??    *    *    none



  • Об этом я тоже подумал, правило во вкладке WAN сделал:

    IPv4 * DMZ net * * * * none

    Маска 28

    Да, кстати, эффекта это не дало, и клиенты LAN сети сервера 85.10.C.133 видят через 2ip и остальные сервисы, что у них внешний IP - 85.10.A.186, а должны видеть 85.10.C.133.



  • В правиле DMZ net должна стоять в столбце Destination
    Source, Source Port и Destination Port должны быть *



  • @vitalylll:

    клиенты LAN сети сервера 85.10.C.133 видят через 2ip и остальные сервисы, что у них внешний IP - 85.10.A.186, а должны видеть 85.10.C.133.

    Это значит, что работает Outbound NAT для 85.10.C.128/28
    Переведите Outbound NAT в Manual Outbound NAT rule generation и удалите правила для DMZ net - они не нужны



  • Кажется понял, спасибо! Вечером попробую, отпишусь.



  • Это значит, что работает Outbound NAT для 85.10.C.128/28
    Переведите Outbound NAT в Manual Outbound NAT rule generation и удалите правила для DMZ net - они не нужны

    Точно, удалил два созданных автоматом правила, и все заработало как нужно! Спасибо за помощь!



  • Рано обрадовался.. Доступа к серверам в подсети нет. Неужели на Pfsense с DMZ придется двойной проброс делать? Получается - на сервере, находящемся в DMZ открытые порты так и не работают. Хотя на компах в LAN виден как внешний: 85.10.C.133



  • Доступа к серверам в подсети нет

    А если правило в fw добавить ?



  • @werter:

    Доступа к серверам в подсети нет

    А если правило в fw добавить ?

    А какое? У меня получается на основном я делаю проброс например Port:21 до 85.10.C.133, а на 85.10.C.133 уже до адреса в локальной сети. Хотя логично было бы создать правило на 85.10.C.133, и доступ появился, как избежать дополнительного проброса? Тоесть DMZ и не DMZ пока что



  • Создал правило в PF открыть в DMZ-subnet 1-65000 порты…  ;D Конечно все сразу работает, но это же костыль?



  • Эээ, а если вкл. логирование fw, обращаться к DMZ серверам извне и смотреть логи?



  • Тут моих знаний уже явно не хватает. В логах вижу что просто блочит мой запрос на 1194.


Log in to reply