Problemas con LAN y DMZ

Reply to Problemas con LAN y DMZ on Tue, 02 Dec 2014 11:46:35 GMT

rodria — Tue, 02 Dec 2014 11:46:35 GMT

Por otro lado, creo que estás usando mal la DMZ, por ejemplo, tienes permiso de la LAN a la DMZ global, por lo que podrías recibir un ataque interno, yo colocaría por ejemplo:

LAN Net –-> DMZ_Server_DB Port 5432
LAN Net ---> DMZ_Server_http Port 80 y 443 (Puedes definir un Alias con ServiceWeb y colocar los dos puertos.
LAN Net ---> DMZ_Server_mail Port 25/110 o por TLS 587/993 igualmente puedes hacer un Alias.
ADMINS ---> DMZ_Net Port ssh ADM_Net puede ser un Alias de las IPs/VLAN de los Administradores.
BackUp ---> DMZ_Net Port XXX El puerto por donde funcione tu sistema de Backup de Cinta (si es que tienes)

Lo mismo aplica desde la DMZ a la LAN,

DMZ_Server_DB ---> LAN Net Port 5432 ....
*
*
*

Saludos

Reply to Problemas con LAN y DMZ on Tue, 02 Dec 2014 11:34:32 GMT

rodria — Tue, 02 Dec 2014 11:34:32 GMT

Viendo las reglas, te sugiero lo siguiente:

la regla que tiene: 172.16.x.3:5432 –> 192.168.x.17 colocar en lugar de 192.168.x.17 [LanNet]

Por otro lado, tienes una regla que dice: DMZ net –--> !Lan Net, por lo que estás negando "!" LanNet, no creo que esta regla tenga mucho sentido :D ya que estás permitiendo todo el tráfico a cualquier parte, menos a LanNet.

Saludos

Reply to Problemas con LAN y DMZ on Tue, 02 Dec 2014 04:50:08 GMT

acriollo — Tue, 02 Dec 2014 04:50:08 GMT

Firewall en el servidor del postgress ? ACL en la base de datos ?

Reply to Problemas con LAN y DMZ on Mon, 01 Dec 2014 20:22:58 GMT

lebolivar — Mon, 01 Dec 2014 20:22:58 GMT

La puerta d enlace es el proxy… en la LAN es 192.168..97 y por parte de la DMZ es 172.16..1; ambas son interfaces en el proxy ACRIOLLO

Reply to Problemas con LAN y DMZ on Sat, 29 Nov 2014 04:05:02 GMT

acriollo — Sat, 29 Nov 2014 04:05:02 GMT

Puerta de enlace de los equipos ?

Reply to Problemas con LAN y DMZ on Thu, 27 Nov 2014 21:19:08 GMT

juancho — Thu, 27 Nov 2014 21:19:08 GMT

Nos puedes informar que error te da cuando intentas conectarte? porque puede ser algo en la configuracion de postgres. En el pg_hba.conf definir que redes pueden conectarse al servidor. revisa tambien los log de postgres por no dejar y postealos.. tambien

PORT 5432 – Information

Port Number: 5432
TCP / UDP: TCP
Delivery: Yes
Protocol / Name: postgres
Port Description: postgres.’postgres database server’

activa el udp tambien en las reglas para descartar

Reply to Problemas con LAN y DMZ on Thu, 27 Nov 2014 19:08:53 GMT

lebolivar — Thu, 27 Nov 2014 19:08:53 GMT

Gracias por tu observación amnarl!, se me paso por alto agregar las reglas que estan en LAN, aquí están.

Como pueden ver puse una regla un poco exagerada pero a modo de prueba para ver si pasaba alguna trafico entre ellas, por lo que me permite como dije SSH, hacerle ping a cualquier servidor en DMZ, pero no se que me faltara, lo mas seguro es un tontería y siendo novato pero agradezco cualquier ayuda que puedan darme.

![lan .png](/public/imported_attachments/1/lan .png)
![lan .png_thumb](/public/imported_attachments/1/lan .png_thumb)

Reply to Problemas con LAN y DMZ on Thu, 27 Nov 2014 17:17:38 GMT

amnarl — Thu, 27 Nov 2014 17:17:38 GMT

Saludos mi estimado fijese algo esa reglas que necesita son conjunta por un lado los servidores en dmz deberia tener la posibilidad de llegar a donde quieran es decir subred lan, opt1,opt2 o si desea personalizarlo lo hace como esta en su captura por puerto especifico etc.. Ahora bien usted indica que el servidor donde esta la base de datos esta en la subred lan si esto es asi recordando "la regla de oro que toda regla que se realice en el firewall se hace desde su origen hacia su destino" tiene usted colocada en lan la regla para el acceso desde la lan de ese servidor que posee la base de datos hacia la dmz al servidor de aplicaciones??? Interesante seria ver si esta sino creo que ese seria su problema actual .

Estamos a su orden

Reply to Problemas con LAN y DMZ on Thu, 27 Nov 2014 13:16:24 GMT

lebolivar — Thu, 27 Nov 2014 13:16:24 GMT

Gracias juancho y acriollo por sus comentarios, les indico que estuve revisando las reglas, aqui les muestro una captura de pantalla de las reglas que tengo en la interfaz dmz. Solo deje la regla del postgress de momento para probar si funciona, el servidor que esta actuando como servidor de aplicacion se encuentra en la sub-red de la DMZ (172.16..) y donde esta la Base de datos se encuentra en la sub-red LAN (192.168..); tengo una regla especificando que exista una comunicacion entre esas maquinas por el puerto de postgress (5432), pero no se logra realizar.

Como dije soy nuevo tanto usando la herramienta como en el área y agradecería los consejos o la ayuda que me puedan proporcionar, gracias.

@juancho:

Revisa que tengas permitido los puertos de postgres y correo, seguro eso es algún detalle en las reglas. Postealas y te ayudamos mas.

![pfsense dmz.png](/public/imported_attachments/1/pfsense dmz.png)
![pfsense dmz.png_thumb](/public/imported_attachments/1/pfsense dmz.png_thumb)

Reply to Problemas con LAN y DMZ on Thu, 27 Nov 2014 06:21:23 GMT

acriollo — Thu, 27 Nov 2014 06:21:23 GMT

Como dice Juancho, hay que agregar en la interface de la DMZ el trafico por puertos y direcciones destinos del trafico que deseas permitir.

Recordar que las reglas se crean en la interface que genera el trafico

saludos

Reply to Problemas con LAN y DMZ on Thu, 27 Nov 2014 02:27:26 GMT

juancho — Thu, 27 Nov 2014 02:27:26 GMT

Revisa que tengas permitido los puertos de postgres y correo, seguro eso es algún detalle en las reglas. Postealas y te ayudamos mas.