Proteger ips publicas web von pfsense-modo co lineal.



  • Buenas noches a todos tengo conocimiento básico necesario en linux, unix y win.

    Por ahora tengo una lan con pfsense de 2 nick, una que conecta al router administrado por mi ISP Y después de ahi pongo un switch y un puerto destino a pfsense qye hace dhcp a mi lan y asi lo tengo pero ahora tengo un problema duro. Tengo 2 ips publicas web que estan fuera del pf cortafuegos.  No se como seria.
    Quiero proteger esos servicios pensé que esos servicios web conectar a el switch que esta después del switch de pfsense.  Es decir Internet-> Router ISP -> Switch -> Pfsense Firewall -> Switch varios puertos –->{ LAN e IP's Publicas que al estar conectados así como la LAN TENDRIA Más seguridad.

    Como digo soy nuevo en este tema y espero sus comentarios.
    Cordiales Saludos.



  • Lo único a comentar es que si tienes las IPs públicas dentro necesitarás más de un subrango de IPs públicas para tener a pfSense en modo enrutador.

    De lo contrario lo tendrías que poner en modo puente (bridge).

    Plantéate si es absolutamente necesario tener IPs públicas en LAN, Normalmente se suele hacer NAT y emplear IPs privadas.



  • Saludos mi estimado, para ofrecer seguridad a tus clientes en lan lo mejor es colocar a pfsense como enrutador y firewall y como indica el maestro bellera realizar los nat correspondientes a los puertos e ips correspondiente de los servicios que desees publicar en internet alli si de veras estaria trabajando pfsense como protector de tu red de servicios



  • Hola bellera, gracias por contestar, estoy muy limitado (curioso) pero poco a poco voy tomando la logica de pfsense, hasta ahora lo unico que he creado es lo siguiente, Despues del router de mi isp administrador por ellos me puse un  firewall pfsense y dhcp para lan, hasta ahi lo he montado 2 veces y he visto como al iniciar el asistente pide como lo quieres, me han comentado unos amigos que pudiera ser de la siguiente manera para proteger mis servidor publico 2 en este caso.

    ROUTER ISP –>PFSENSE BRIDGE  -->SWITCH --> PF FIREWALL --LAN
                                                                            --> IPS PUBLICAS

    Hasta ahi entiendo ya que pf bridge pasa la conexion directa al switch donde un puerto de este lo tomo para conectar un cable directo a la wan del pf firewall y asi controlar la LAN.
    Y tomar los otros puerto para las ip publicas de un par de servidores.

    Donde estoy confundido es que ip debo poner al bridge en wan y lan, si debe se de un rango de red privada como 172.16.2.1 o debe ser una ip publica?, y en el pf firewall debo poner igual una ip privada o publica, ya que actualmente tengo solo un pf firewall con ip publica en wan y ya en lan la ip privada.
    Asi: ROUTER ISP -->SWITCH --> PF FIREWALL --LAN

    Me imagino hacer esto por que no tengo mas de 2 cards en el pfsense, podria ser asi o una idea mas, ya que ustedes tienen mas conocimiento de hasta donde llega PfSense.
    Adjunto una captura.

    Gracias




  • @amnarl:

    Saludos mi estimado, para ofrecer seguridad a tus clientes en lan lo mejor es colocar a pfsense como enrutador y firewall y como indica el maestro bellera realizar los nat correspondientes a los puertos e ips correspondiente de los servicios que desees publicar en internet alli si de veras estaria trabajando pfsense como protector de tu red de servicios

    amnarl gracias, tambien tengo duda de si dejar mi firewall pf sense y hacer una nat, el cual solo tengo 2 cards y una WAN y otra a LAN, en este caso para proteger a los ips publicos tendria que tener una card mas para poder hacer Nat y proteger en esE RANGO de ip privada a los ips publicos cierto?

    Y Tambien quiero decir que no tengo mucha idea porque no he visto un manual de como debe ir una nat para proteger a dichas ip´s publicas. Se como hacerla teniendo otra card pero despues de ahi asignar una ip a un servidor pero no se como debe seguir para que siga funcionando como un webserver con su ip publica, o este servidor web basta con tener una card de ip publica y otra que conecte dhcp o manual a la otra card y asi conecte y este dentro de la NAT?

    Por favor espero sus comentarios.
    Se que solo basta con encontrar un manual y lo hago, me gusta aprender mucho.
    Cordiales saludos.



  • Ahora entrando mas en el tema depende de que prefieras y cual es tu idea inicial porque si lo que deseas es mantener direcciones ip publicas es otro tema . Fijate me ha tocado colocar en una dmz con direcciones ip privadas servicios como (web, dns, correo, squid-proxy),  esto debido a el pequeño tema del pools de direcciones ips dinamicas asignadas por el proveedor lo que complica aun mas el asunto. Ahora bien he visto configuraciones de pfsense donde se maneja un pools de direcciones ips publicas fijas cada una enfocada en un servicio tambien colocando servidores detras de una dmz apuntando al mismo una virtual ip y con nat realizado hacia cada uno de los servicios en dmz.

    En fin es posible lo que necesitas hacer solo hay que definir esos detalles para entonces ponerse manos a la obra y ver configuraciones adaptadas a su entorno previa descripcion completa de lo que posee.

    Estamos a su orden



  • amnarl
    Gracias por contestar antes de seguir.
    Bien mira actualmente estoy asi, Despues de el ROUTER ISP debo hacer mi gestion. tengo actualmente un swicth cisco y tomo un puerto tal cual y lo conecto a el servidor pfsense a la WAN salida a internet y la card LAN a mi LAN, porque este servidor tiene 2 cards unicamente.  ya que actualmente tengo servicios corriendo en un rango de red privada dada por dhcp de el PFsense.

    Entonces el switch que esta y de donde tomo un puerto para el pf sense firewall tambien tomo para otros 2 servidores web y quedaron fuera, sin proteccion, lo que quiero es protegerlos, entonces eso es lo que quiero hacer.

    Me digeron poner un pf bridge despues del router, algo asi.
    ROUTER ISP –>PFSENSE BRIDGE  -->SWITCH --> PF FIREWALL --LAN
                                                                            --> IPS PUBLICAS
    Donde las IPS publicas seria protegidas por el bridge, ya que el pf firewall protegera mi LAN y el pf bridge tenerle que configurar algo mas para proteger a las ips publicas.

    Ojala me haya explicado.
    Cordiales Saludos


  • Rebel Alliance

    Por qué/para que 2 pfSense ?

    No sería mas simple 1 con Todas las IP's Públicas en la WAN, y los "Servers" que "publican" servicios en una DMZ ?

    Cuántas IP's Públicas tienes ? Es un "Segmento" que tu ISP te "Rutea" ?



  • @ptt:

    Por qué/para que 2 pfSense ?

    No sería mas simple 1 con Todas las IP's Públicas en la WAN, y los "Servers" que "publican" servicios en una DMZ ?

    Cuántas IP's Públicas tienes ? Es un "Segmento" que tu ISP te "Rutea" ?

    Hola si estaria bien con un pf, pero este solo tiene 2 cards y una WAN y otra lan y no se como seria para poner una DMZ. Las ip publicas son 4 que son web y demas sumandole una mas que es la que da salida a la LAN.

    Podrias decirme una imagen de como es lo que me comentas? y no es un segmento que me rutea, solo me da la salida.
    Pero tengo un segmento con PF firewall con el que tengo servicios corriendo y no quiero mover esa red pv.

    Gracias ptt


  • Rebel Alliance

    Utiliza VLAN's ;)

    Agregas las IP's adicionales como "VIP" y haces los "Port Forward" o "1:1 NAT" entre las VIP y los servers de la DMZ

    https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses

    https://forum.pfsense.org/index.php?topic=23409.0




  • Gracias por la ayuda, leere los post que me sugieres para ver como configurar el pfsense para la lan+dmz y de ahi al switch. Ya que eso busco como configurar  este tipo de configuraciones.

    Te comento ma;ana. ya que entoonces debo estudiar esos post's.
    Saludos cordiales


  • Rebel Alliance

    De nada ;)

    No es la única manera de hacerlo, pero creo que es relativamente sencilla, y si ya cuentas con 1 Switch Manejable, y con 1 pfSense funcionando, todo se reduce a "cambiar configuraciones".

    Dedícale un rato a la lectura, analiza las distintas alternativas… y luego "vuelves" y planteas las inquietudes que tengas al respecto, que seguro alguno de los compañeros te ayuda ;)



  • Si gracias asi reviso bien como la la DMZ Y LAN.
    Gracias brother.
    Cordiales saludos



  • Me queda una duda ya tengo mas idea de las VLAN etc, pero mi pfsense tiene 2 tarjeta de red el0 y el1, en este caso WAN el0 y LAN el1, entonces si tengo en LAN un segmento trabajando ya, vi que se pueden crear vlan2 y vlan3 apartir de cualquier tarjeta de red, en este caso creo 2 vlan apartir de la tarjeta el1 y se crean y asigno ips de 172.16.2.1 y  172.16.32.1 /16 y ustedes que opinan que en la ultima ponga los servidores publicos que quiero aislar esta bien? Y por otra parte no me afecta que siga la LAN asi, o tendria forzozamente que convertir en vlan1 con el rango actual para que no quite servicios funcionando en ese rango cierto.

    Espero sus comentarios.


  • Rebel Alliance

    No puedes tener 2 interfaces en el mismo segmento de Red.

    Si tienes la LAN con 172.16.2.1, y agregas otra interface en el segmento 172.16.32.1 /16, este ultimo se superpone/solapa con la LAN.

    Por otro lado /16 ?? necesitas esas 65534 IP's ?

    Si vas a utilizar VLAN's, creas 2, 1 Para la LAN, y otra para la DMZ

    Luego "reasignas" la LAN a la VLAN que creaste.



  • Hola ptt

    Gracias por comentar, mira actualmente tengo un Router ISP, tomo la salida a internet y lo conecto a mi switch CISCO SG200-50 port Gigabit smart y tomo un puerto numero 2 y lo pongo en mi PF con 2 tarjetas em0 y em1, la primera como WAN y la segunda como LAN, bien actualmente mi lan esta por DHCP a travez de la em1, lo que quiero es proteger ips publicas como la de la WAN ya que 3 de ellos son servidores web y uno ftp.

    He leido en muchos post`s de aqui y otros  foros que en la em1 por ejemplo; En esa tarjeta o bien sea en la otra (em0 WAN), que de ahi lei se pueden crear vlans o una DMZ para aislar esos servidores publicos y sean protegidos por el PF, ya que actualmente no estan protegidos, y si creo una 2 VLAN Una parala LAN actual y otra para otra LAN donde estaran los servidores web o bien que sea una DMZ, que me recomiendan?. Ya que el objetivo es proteger de ataques DDOS, escaneo de puertos, etc.

    Espero de sus comentarios compañeros.

    Adjunto mi archivo de como estoy.



  • Rebel Alliance

    A grandes rasgos te quedaría de la siguiente manera:

    El adaptador "em0" (WAN) es quién tendrá "todas" las IP's Públicas

    El adaptador "em1" tendrá las 2 VLAN's  (LAN y DMZ)

    El Router del ISP lo conectas a la WAN del pfSense

    1 Puerto del Switch, configurado como "Trunk" lo conectas a la interface "em1" que tiene las 2 VLAN's configuradas (LAN y DMZ)

    Los "Hosts" de la LAN los conectas a los puertos "Access" del Switch que pertenezcan a la VLAN que asignaste/creaste en "em1" para la LAN, y tendrán salida/acceso a internet "NATeados" a través de la IP pública de la WAN

    Los "Servers" que quieres "proteger" los conectas a los puertos "Access" del Switch que pertenezcan a la VLAN que asignaste/creaste en "em1" para la DMZ, y el tráfico entrante/saliente irá por las IP's publicas asignadas como VIP



  • Que tal ptt
    Buenas tardes, gracias por darme ideas, realize un trazo para " interpretar" lo que tu me comentastes, me gustan plantear graficamente. QUiero entender asi como realize el grafico es como me dices, entonces solo debo configurar el Puerto 1 o 2, o puede ser el uno para que no haya problema y mas facil identificar el puerto "principal", si me equivoco corrijeme por favor.

    Entonces Configuro el puerto 1 como "Trunk" y  este iria conectado a la card em1 que contiene Virtualmente las Vlans(LAN y DMZ), despues elijo el rango de puertos 6 por ejemplo si es que quiero poner 6 switchs normales para ampliar mi red de 40 computadores por ejemplo y esos puertos del Switch Cisco los identifico como tipo Access Perteneciente a VLAN10(LAN 172.16.1.0/16 donde mis hosts pc seria 172.16.2, etc….) y La otra VLAN20(DMZ) contendra a los servidores web y asi me imagino que en su interfaz de mi servidor web tiene 2 tarjetas eth0 y eth1 en eth0 Pondria su ip publica y en eth1 la ip del dhcp perteneciene al rango de la Vlan (DMZ 172.16.2.0/16) 172.16.2.2 o .172.16.2.3, 172.16.2.4, etc.......

    Asi las ips DMZ ( Ips publicas de servidores web) estaran protegidas por el Firewall cierto? que es a esto a lo quiero llegar.

    Adjunto Imagen de como imagino lo que me planteaste. Donde me surge duda es que ip privada pondre en la em1 que es de donde colgare las VLANS(LAN Y DMZ) o puede llevar una ip publica o ip privada como 172.16.1.1 como gateway principal para las 2 Vlans.    :)

    Espero tus comentarios.

    Cordiales saludos.



  • Rebel Alliance

    Si vas tener 40 Hosts en la LAN, para qué un /16 (65534 IP's) ?

    Utiliza un /24

    LAN 172.16.1.0/16

    DMZ 172.16.2.0/16

    NO PUEDES UTILIZAR EL MISMO SEGMENTO DE RED EN 2 INTERFACES DIFERENTES !

    Digamos que en la LAN utilizas el segmento 172.16.0.0/24, y en la DMZ 172.16.4.0/24

    Entonces, asignarías esos segmentos a las VLAN's en el pfSense

    LAN –> em1_vlan10 --> 172.16.0.1/24

    DMZ --> em1_vlan20 --> 172.16.4.1/24

    El adaptador "em1" NO tendrá ninguna IP (La tienen las VLAN's)

    Los Servers de la DMZ NO tendrán la IP pública, la/s  IP/s Publica/s las tendrá la WAN del pfSense, y utilizarás "port forward" o "1:1 NAT" para publicar los servicios.

    Los Hosts de la LAN, tendrán como GW la IP de dicha interface (172.16.0.1) y los Servers de la DMZ utilizarán IP's en el segmento 172.16.4.1/24 (172.16.4.2, 172.16.4.3..... 172.16.4.254) y tendrán como GW la IP de dicha interface (172.16.4.1)

    Luego tendrás que "ver/configurar" la manera en que "NATeas" las IP's privadas de los Servers para que "salgan" por las IP's Publicas adicionales (VIP's) que agregaste/configuraste en la WAN, los "Port Forward" o "1:1 NAT" para que el trafico "ingrese" a los Servers por dichas IP's.



  • Gracias Camarada ptt
    Mira el porque ese rango a mi lan 172.16.1.0/16  a 255.255.0.0 es porque asi estaba la red anteriormente  y cuando entre a trabajar me encontre con esto y con servicios de fileservers y sistemas que estan asi funcionando, y tendria que mapear otra vez a todas las maquinas, es que un detalle que me falto decir son como 254 pc`s y otras que actualmente tengo funcionando por vpn como 3, el punto es el siguiente quiero dejar mi LAN en ese segmento de red y la DMZ si la pondre en otro segmento como en 172.16.0.1/24

    Entonces seria  LAN  –>  em1_vlan10    --> 172.16.1.1/16    -  usando como GW "Gateway" 172.16.1.1, si lo cambio a 24 puedo segir usando este tipo de ips vdd a lo que lei sobre ips 172.16.1.1-254 en /16 y /24?. Esto para no volver a configurar los servicios en todas las terminales o clientes.

    DMZ  -->  em1_vlan20  --> 172.16.0.1/24 0 172.16.0.1/16 Para que esten en otro segmento. Entonces los servidores de web tendrian el dhcp estatico de la DMZ del rango 172.16.0.2, 172.16.0.3, 172.16.0.4, 172.16.0.5, 172.16.0.6 con Gateway 172.16.0.1 ya que si pongo 172.16.4.1/24 es como si fuera 172.16.1.1/16 ya que estan dentro del mismo segmento verdad?. Por otro lado entre en este tema de aumentar la seguridad de red manteniendo de no aumentar el numero de Tarjetas de Red, es decir con las 2 que tengo, ya que ese es el segundo objetivo lo digo por lo siguiente de NAT.

    Tengo entendido que para hacer un "Port forward" solo tengo que apuntar de la ip publica a las ip privada (Que buscare como hacerlo terminando de alcarar las dudas sobre el tema actual) asi con este port forward no ocupo tarjeta de red y si hago una NAT de Ip Publica PF - Ip Privada entonces debere utilizar una Tarjeta de red para este y sis son 4 o 5 ips publicas serias esa misma cantidad de tarjetas o tambien se puede hacer virtualmente? si es asi debo ver ese tema tambien y asi reconfigurar mi PfSense.

    Cordiales saludos XD



  • De acuerdo a us ideas amigos, ya tengo creadas las vip es decir en la card wan em0 crie 5 ips publicas, y las dos vlans en la card em1 para asi tenerlas en segmentos diferentes.
    Ahora que es mejor hacer port forward o nat para poder acceder desde LAN Y DMZ a las Vips.

    Cordiales saludos.


Log in to reply