Pfsense como Firewall de Borda



  • Bom dia a todos.
    Estou querendo utilizar o Pfsense como firewall de borda para meus servidores que possuem IP's validos. Porém estou com dificuldades em como realizar essa configuração. Inicialmente, imaginei que seria assiim: Pfsense recebendo o Link em uma interface e saindo a rede Wan para o switch onde os servidores estão. Depois, fazer os filtros de entrada e saída da interface que recebeu o link. Porém, lendo alguns artigos vi que não é bem assim, mas também não consegui entender muito bem como deveria ser. Alguém tem alguma dica para me ajudar?

    Desde já agradeço!



  • Você tem os IPs "válidos" configurados nos servidores? Se for não irá funcionar.

    Melhor seria colocar IP interno e fazer NAT com redirect para os serviços/portas, assim você consegue filtar;



  • Olá, Tomas Waldow

    Sim, meus servidores possuem um poll de IP's válidos.
    Pensei que se eu chegasse com a Wan no Pfsense e saisse essa Wan para o swicth onde esse servidores estão e colocasse o gateway desses servidores o IP que estava na interface de saida, talvez conseguisse realizar os filtros de entrada e saída.

    Obrigada pela resposta.



  • Pelo que sei não;

    Se realmente precisa que o servidor responda/saia com o IP válido, pode fazer NAT 1:1, irá passar pelo pfSense mas não poderá filtrar;

    Se tem outra forma eu desconheço, talvez alguém saiba!

    Precisa mesmo que tenho o válido nele?



  • Olá!

    Se você pretende que o pfSense seja um Router/Firewall, é necessário que haja NAT, onde o pfSense é o Gateway dos seus servidores.

    Você possui um bloco de IPs vindos da operadora, o gateway desse bloco precisaria ser o pfSense e não o router da operadora. Nesse caso você pode conversar com sua operadora e requisitar um IP separado para a WAN do pfSense e você usa o bloco nos servidores e LAN do pfSense.

    Para fazer isso, seria também interessante implantar BGP no pfSense para publicar as rotas para a operadora, mas existem alguns requisitos para isso.

    Descrema com mais detalhes a sua necessidade.



  • colocar todos os ip's validos no seu pfsense e fazer um NAT 1:1 não ajuda?



  • Olá LFCavalcanti
    Então, o que eu imaginei que poderia funcionar seria: Chegar com o link em uma interface do pfsense. Configurar essa interface com o IP válido da operadora e o gateway da operadora. Colocar outra interface de rede no Pfsense e configurá-la também com um IP válido e ligá-la ao switch onde estão meus servidores com IP's válidos. Depois configurar o gateway dos meus servidores com o IP dessa interface que chegará no switch.



  • @natioli:

    Olá LFCavalcanti
    Então, o que eu imaginei que poderia funcionar seria: Chegar com o link em uma interface do pfsense. Configurar essa interface com o IP válido da operadora e o gateway da operadora. Colocar outra interface de rede no Pfsense e configurá-la também com um IP válido e ligá-la ao switch onde estão meus servidores com IP's válidos. Depois configurar o gateway dos meus servidores com o IP dessa interface que chegará no switch.

    Olha, alguém me corrija se estiver errado, mas se o Router não é o ponto de acesso(Gateway) entre a sua subrede(Ips Válidos) e o resto da Internet, você não consegue fazer Firewall.

    Se ele não for o Gateway, também não faz NAT, então não pode atuar como Router.

    Isso se dá pela implementação do protocolo IP, não pelo pfSense. Você poderia fazer o que quer num Mikrotik rodando RouterOS, mas… segurança mesmo é ZERO. Sem o roteador de borda sendo fisicamente a ponte entre a sua rede e a internet, não adianta.

    Sendo bem honesto aqui, se você precisa de um Router, só para Firewall e BGP por exemplo, melhor usar o VyOS ou Mikrotik. Se pretende colocar balanceamento de carga para servidores atrás do pfSense ou implementar HA, ai sim.



  • Firewall transparente é a solução certa pra vc.



  • @santeLLo:

    Firewall transparente é a solução certa pra vc.

    Só reforçando que esse tipo de setup tem problemas de segurança. A CISCO por exemplo, desencoraja esse tipo de topologia.



  • Dependendo da sua faixa de ip disponibilizada pelo sua operadora e se tem acesso ao roteador da operadora você pode fazer uma subnet da rede criando um novo gateway no seu pfsense. Tenho uma instalação aqui desta forma, crei junto com a operadora uma subnet no router deles e ai passa tudo pelo pfsense mesmo tento ip válido no próprio servidor.



  • @LFCavalcanti:

    @santeLLo:

    Firewall transparente é a solução certa pra vc.

    Só reforçando que esse tipo de setup tem problemas de segurança. A CISCO por exemplo, desencoraja esse tipo de topologia.

    Poderia citar algumas fontes referente a isso?



  • Olá Reinaldo Feitosa

    Acho que isso que vc fez é o que eu preciso fazer. Pode me dar mais detalhes de como você implementou essa estrutura?
    Obrigado



  • No meu caso a operadora me passou um bloco e ip com mascara (255.255.255.224 27bits). Para resolver dividimos em duas com mascara (255.255.255.240 28bits).
    A operadora tem que mudar no router para que os ips vai tudo para o firewall
    no meu caso é assim
    xxx.xxx.xxx.193 router da operadora
    xxx.xxx.xxx.194 pfsense

    xxx.xxx.xxx.209-222 rede de servidores atras do firewall (da para usar nat ou o ip fixo no servidor, mas cada um com um ip)

    Qualquer rede da para dividir, mas se sua mascara for 255.255.255.248 não tem muito sentido dividir, pois vai ficar com 2 ip em cada rede um router e outro o cliente, não faz sentido.

    Se sua mascara for 255.255.255.240 da para fazer duas 255.255.255.248 com 6 ips válidos cada uma.

    Isso é TCP/IP nada particular do pfsense.

    Espero que com estas dicas você consiga entender a topologia a ser aplicada.



  • @natioli deu certo ? nos dê um feedback, tenho interesse nesse cenário ai também..

    @santeLLo pode dar mais detalhes sobre esse firewall transparente no pfSense ?



  • Setup inicial de 3 interfaces, duas em bridge e uma pra gerência.

    pode tirar como base esse tutorial:

    http://people.pharmacy.purdue.edu/~tarrh/Transparent%20Firewall-Filtering%20Bridge%20-%20pfSense%202.0.2%20By%20William%20Tarrh.pdf



  • Olá vcamposm31
    Estou fazendo algumas pesquisas para implementar isso. Inicialmente, vou tentar com a operadora para ver se conseguimos dividir nossa rede e fazer o que o Reinaldo Feitosa sugeriu.
    Acho que isso irá resolver pra mim. Mas ainda estou com  muitas dúvidas também…

    Pode deixar que vou atualizando o post caso ele evolua.



  • @santeLLo legal, dei uma olhada.. acho que é a maneira mais fácil deu fazer

    @natioli certo legal..

    Pessoal o meu cenário é assim

    Provedor Rádio IP/PPPoE –-> WAN -- pfSense LAN -- 192.168.0.0/24 gw é a WAN

    Dai eles cederam um /29, apontando pro IP da minha WAN no pfSense e pensei no seguinte cenário para que eu possa colocar IPS válidos em estações da LAN.

    Provedor Rádio IP/29 ---> IP/PPPoE ---> WAN                            pfSense        LAN DHCP --- 192.168.0.0/24 gw é a WAN
                                                                VIRTUAL IP  xxx/29                              VPS 1 --- xxx/29 - gw ser o Virtual IP
                                                                                                                          VPS 2 --- xxx/29 - gw ser o Virtual IP
                                                                                                                          VPS 1 --- xxx/29 - gw ser o Virtual IP

    É possível o cenário acima? É seguro para minha rede 192.168.0.0/24 na LAN ?

    Eu conseguiria manter esse ambiente ai controlado ?
    Os VPS com os /29 ficariam transparentes ?

    O que vocês recomendam ?



  • Eu esqueci de mencionar, mais no cenário ai será uma bridge com a WAN e a LAN.


Log in to reply