Problema con Nat y reglas para un servidor web

too_cadena

Hola que tal, hasta ahorita me ha funcionado todo a la perfeccion en cuanto a seguridad, pero mi FW principal tiene 6 tarjetas de red, 3WAN y 3 LAN, tengo un servidor funcionando dentro de LAN y me piden que tambien funcione en LAN3, segun yo ya tengo configuradas las reglas en LAN y en LAN3, entonces me falta hacer bien el NAT, pero no se si hacerlo en el portforward o en el outbound, es pero y alguien que ya haiga realizado algo similar me ayude un poco con esto, o si existe otra forma de realizarlo, estaba pensando ponerle dos targetas de red a mi servidor, pero creo que si pongo correctamente las reglas es pocible hacer funcionar el servidor tanto en LAN como en LAN3.

Tambien tengo otro servidor el cual debe de funcionar tanto en toda la intranet como en Internet.

De antemano gracias

bellera

¡Hola!

Para que un servidor se vea de una LAN a otra no tienes que hacer NAT. Simplemente hay que tener reglas que admitan el tráfico para estos servicios de una LAN a otra. Para que los usuarios se puedan referir al servidor por nombre emplea un DNS local (el DNS forwarder de pfSense puede ser suficiente) con los nombres que desees asignar y la IPs locales de los servidores.

Para que tu servidor se vea en Internet sí tienes que hacer NAT forwarder y autorizar el tráfico entrante para este servicio en la WAN correspondiente. Esto es así porque tienes que transformar tu dirección local en una dirección pública.

El NAT outbound es una protección para esconder las direcciones locales cuando se va a Internet. No es obligatorio pero sí conveniente.

Todo lo que pides lo puedes encontrar en www.bellera.cat/josep/pfsense/indice.html

Saludos y ¡suerte!

Josep Pujadas

too_cadena

Hola que tal nuevamente, pues me fue bien con lo el servidor web interno, ya me funciona en las redes que queria que me funcionara, ademas me funciono muy bien el dominio que le asigne al servidor.
Desgraciadamente ya he sguido anteriorme te el tutorial que usted me recomendo para salir a internet otro servidor web

En la siguiente imagen pertenece a mi configuracion de PortFordward donde la direccion 192.168.2.50, pertenece a mi servidor web que se encuentra en LAN.
En la imagen de mas abajo, mustro mi configuracion en WAN3, como apenas estoy realizando pruebas no he abierto solo los puertos necesarios para mayor seguridad, sin embargo dejo la Gateway xxx.xxx.xxx.254 que es la ip de mi router por donde deberia de salir me servidor web y la ip del servidor web seria xxx.xxx.xxx.55
No se si tambien se deba dejar salir el servidor web desde LAN, o bien si estoy configurando mal el NAT o La regla de WAN3

bellera

¡Hola!

Para las reglas de WAN3 no tiene que haber Gateway. Son reglas de entrada por el lado WAN3.

Para tener más seguridad tal como dices, dejar entrar sólo TCP 80. Y además poner como dirección de destino 192.168.2.50 (http://www.bellera.cat/josep/pfsense/imatges/rules_WAN.gif).

A parte de esto no me queda clado qué estructura tienes detrás de WAN3. Si hay un router ADSL habrá que hacer NAT en él y autorizar también el tráfico entrante:

IP WAN3 pfSense <–--> IP Privada Router <-----> IP Pública Router

Para pfSense la gateway es la [IP Privada Router]
Además [IP WAN3 pfSense] e [IP Privada Router] deben formar subred, distinta de cualquier otra que haya en el montaje.

Otra posibilidad es montar el router ADSL en modo bridge. Entonces es pfSense quien tiene en WAN3 la [IP Pública Router] ya que el router no tiene IPs.

Saludos,

Josep Pujadas

too_cadena

Hola que tal!!! muchas gracias por su valiosa ayuda que me ha brindado y que me ha funcionado a la perfeccion.

Misteriosamente al cambiar el gateway por default como esta en la imagen de su tutorial, funciona muy bien, solo que al hacer el mismo procedimiento para otro servidor, y al momento de probar desde internet no funcionaba asi que decidi reiniciar el firewall y ni asi quizo funcionar, entonces lo deje un tiempo aproximadamente de 4hr y misteriosamente funciono, la verdad no se a que se deba esto, si es a algun paso que estoy haciendo mal, o si deba reiniciar manualmente algun servicio por ejemplo "pf" o algun otro. Espero y me pueda decir que esta pasando con esta situacion.

Nuevamente Muchas gracias por su gran ayuda y a su magnifico tutorial, pues sin estos no hubiera podido realizar los objetivos principales de mis Residencias Profesionales. Resiba un cordial saludo desde San Luis Potosi Mexico.

bellera

¡Hola!

Probablemente se deba a tablas de enrutado de alguno de los equipos de la instalación. Cuando se hacen cambios de topología en la red a veces hay que terminar apagando todos los equipos. O a que haya un refresco o forzarlo (si se sabe cómo).

¡Enhorabuena!

Saludos,

Josep Pujadas