pfSense recomendações de configuração

4

Eu quero configurar uma WAN, DMZ e LAN privada.

Eu quero fazer um Deny ALL e apenas abrir as portas 4-5 que eu preciso para DMZ e negar tudo na LAN privada

na DMZ são servidores web, todos têm IPs públicos.

Eu tenho 3 NICS nesta caixa.

em1 = WAN e que é um IP estático fornecido pelo meu ISP em3 = LAN e pfSense desde que um endereço 192.168.x.x.

Então minha conexão vai INTERNET - > Caixa pfSense - > interruptor público - > servidores públicos são conectados aqui com IPs públicos. Eu quero também também pfSense Box - > interruptor privado - > coisas privadas como wireless, laptops, etc.

O que eu não vejo é como criar um DMZ (se isso precisa ser separado)?

Como se editam os conjuntos de regras?

Alguém tem um bom tutorial de brincadeira por peça?

UPDATE 1: OK, vejo que as pessoas geralmente criam uma DMZ definindo a interface OPT.

    
por Jason 31.01.2012 / 02:08

1 resposta

2

A melhor maneira de configurar isso é negar tudo por padrão entre as três zonas e permitir somente as portas conforme necessário. Você deve criar um conjunto de regras para INTERNET < - > Tráfego DMZ, INTERNET < - > Tráfego privado e DMZ < - > Tráfego privado. Todos os conjuntos de regras devem ser negados todos por padrão. Então, conforme necessário, abra portas específicas.

Outra prática recomendada é abrir apenas portas de e para IPs específicos. Se você pretende modificar apenas um servidor da Web específico com DMZ_IP_X sobre SSH de uma máquina específica com PRIV_IP_Y, abra a porta 22 somente de PRIV_IP_Y para DMZ_IP_X e nem todo o tráfego na porta 22 de PRIVATE para DMZ.

Em essência, você quer tratar sua DMZ como se fosse outra zona privada. A única diferença real é que você deve desativar o DHCP em sua DMZ e ter regras de roteamento separadas para permitir que essas máquinas conversem diretamente com a Internet. No que diz respeito às regras de firewall, você ainda deseja negar tudo por padrão, abrindo apenas portas específicas conforme necessário.

    
por 31.01.2012 / 02:25