Dúvida sobre DMZ + Bridge



  • Bom dia amigos do fórum, tenho uma dúvida em relação a como fiz minha DMZ.

    Meu cenário é o seguinte:

    
    INTERFACES
    ------------------------------------------
    Interface WANGVT -> IP Dinâmico (PPPOE)
    
    Interface WANCOPEL -> IP Fixo (177.x.x.58)
    
    Interface LAN -> IP Fixo (10.0.0.1)
    
    Interface DMZ -> Sem IP
    
    BRIDGE
    ------------------------------------------
    WANCOPEL + DMZ
    
    

    Eu gostaria de utilizar os IPs válidos da COPEL nos meus servidores da DMZ. Recebi deles uma rede /29, e um dos IPs públicos está na interface WANCOPEL do pfSense. Eu simplesmente criei uma BRIDGE no pfSense entre a WANCOPEL e a DMZ, sendo que minha  interface DMZ está configurada pra ficar sem IP.

    Arrumei as regras do firewall na interface WANCOPEL e DMZ. Coloquei um PC com o IP 177.x.x.59/29 e gateway 177.x.x.57 ligado na interface DMZ para testes.
    Tudo funcionou corretamente, consigo acessar o micro da DMZ pela LAN, e da DMZ acesso a LAN conforme as regras que preciso (atualmente o tráfego DMZ -> LAN está liberado completamente, apenas para testes).
    Meus computadores da LAN seguem acessando a Internet pela WANCOPEL e WANGVT normalmente.

    Sei que tenho outras opções para fazer a DMZ, mas gostaria que os servidores voltados pra Internet ficassem com IPs públicos, sem NAT. Alguém poderia me apontar possíveis falhas na minha configuração?

    Desde já agradeço qualquer contribuição!



  • A configuração funciona como você já testou.

    Já tive problemas ao utilizar pacotes com um pfsense configurado desta forma, mas se está funcionando, recomendo utilizar o ids/ips para proteger seus servidores além de regras bem restritivas.



  • Obrigado pela resposta Marcello,

    Estou tendo problemas com o acesso da DMZ para a LAN, acho que testei da forma errada anteriormente. Da LAN para a DMZ está funcionando OK.
    Se dou um ping em um IP da LAN funciona, se tento conectar utilizando algum protocolo TCP (tentei abrir um site HTTP e uma conexão RDP da DMZ para a LAN) nada feito.
    Fiz regras abrindo qualquer protocolo entre LAN e DMZ para testes, mas não resolveu.

    O que poderia ser?



  • Veja o que acontece pelo tcpdump.