Como combinar vários saltos de rota usando um roteador (pfSense)?

Question

Como combinar vários saltos de rota usando um roteador (pfSense)?

#1 resposta do (1 votos)

1

Estou tentando encontrar uma maneira de consolidar dois roteadores em um. Eu tenho a seguinte configuração de rede:

 LAN <-- a/24 --> NAT Firewall <-- x/29 --> Router <-- y/30 --> Internet
                                    |
 LAN2 <-- b/24 --> NAT Firewall <---

onde a / 24 e b / 24 são minhas sub-redes internas, x / 29 é um pequeno bloco de IPs públicos que foram atribuídos e y / 30 é a conexão de internet fornecida pelo ISP.

Normalmente, o ISP é o proprietário do roteador, mas neste caso nós possuiremos os firewalls NAT e o roteador. Gostaria de evitar configurar três dispositivos pfSense separados e querer consolidar tudo em algo como isto:

 LAN <-- a/24 --> Firewall/Router <-- y/30 --> Internet
                      |
 LAN2 <-- b/24 <------

Eu ainda precisaria ser capaz de atribuir um endereço do bloco x / 29 como o endereço NAT externo para cada rede local e permitir o encaminhamento de porta nesses endereços para servidores na rede local (ex: servidor da web).

É possível combinar vários saltos de rota usando um único firewall pfSense?

UPDATE: Para esclarecer, o x / 29 é roteado 'através' do bloco y / 30 do ponto de vista do ISP. Em outras palavras, o GW para x / 29 é um dos endereços no bloco y / 30.

firewall routing nat pfsense

por Jens Ehrich 25.05.2015 / 19:22

1 resposta

Tags firewall routing nat pfsense

Adicionando um usuário admin a um MongoDB O mod_perl do Apache não pode localizar o script de inicialização

score 1 · Answer 1

Seu diagrama usa x / 29 e y / 30 enquanto o texto usa y / 29 ez / 30, e sua atualização dizendo que x / 29 usa um gateway y / 30 confunde mais as coisas, pois você não pode usar um gateway em outra sub-rede. Talvez adicionar IPs e máscaras de rede ajudaria. Vou assumir um / 24, b / 24, x / 29, y / 30 e que o gateway a que você está se referindo é o roteador com interfaces x / 29 e y / 30.

A resposta curta é sim. As sub-redes a / 24 e b / 24 precisam estar conectadas a portas separadas no firewall. Isso pode ser feito fisicamente usando vários adaptadores ou por VLAN, se o (s) seu (s) switch (es) suportar (em). A interface externa no firewall pode receber o endereço y / 30 do roteador existente. Os firewalls x / 29 existentes podem ser configurados como endereços IP virtuais ou você pode configurar uma interface VLAN de stub para x / 29. Você precisará ajustar as regras NAT e as regras de firewall configuradas automaticamente (por exemplo, LAN- > qualquer uma precisará ser duplicada como LAN2-> Any).

A grande questão em minha mente é para qual finalidade o roteador, o x / 29 e os firewalls foram projetados como estão? Presumivelmente, os NATs a / 24 e b / 24 poderiam ter sido desligados diretamente do roteador y / 30, e b / 24 poderia ter sido desconectado do firewall a / 24. Existe algum outro requisito a ser perdido aqui? Com um / 24 e b / 24 atrás de NATs existentes, eles devem permanecer isolados (caso em que você precisará atualizar as novas regras de firewall para negar LAN- > LAN2 e LAN2- > LAN) ou elas devem ser iguais e roteáveis uns com os outros? É o x / 29 instalado para suportar dispositivos adicionais (futuros?) Como firewalls isolados adicionais "c / 24", redundância, permitindo um segundo dispositivo, manutenção e atualizações, permitindo um segundo dispositivo, etc.

A menos que haja algo errado com o roteador y / 30, eu não me livraria dele (ou seja, ele já foi pago e, presumivelmente, não será reutilizado). A rede x / 29 oferece flexibilidade adicional que será perdida se você recolher os firewalls e o roteador em um único dispositivo. Se você precisa dessa flexibilidade é um assunto completamente diferente.