Netgate SG-1000 microFirewall

Author Topic: [SOLICIONADO] Duda sobre regla de DMZ a Internet sin pasar por toda la LAN  (Read 94 times)

0 Members and 1 Guest are viewing this topic.

Offline _neok

  • Jr. Member
  • **
  • Posts: 45
  • Karma: +0/-0
    • View Profile
Hola a todos!
Tengo un equipo (antispam) en mi DMZ, expuesto a internet con un NAT en una de mis WAN.
Tengo una regla funcionando que le permite comunicarse con dos IP de mi LAN y nada más. Hasta aquí todo bien.
Ahora bien, necesito que ese equipo pueda conectarse a internet, pero no al resto de mi LAN.
Si armo una regla de DMZ to any se conecta a internet pero también a la LAN completa.
Cómo y dónde me recomiendan armar la/s reglas para que se comunique a internet y solo a las IP de mi LAN que yo le indique?
Muchas gracias por cualquier pista!
Saludos cordiales

Gabriel
« Last Edit: April 16, 2018, 06:42:29 pm by _neok »

Offline ptt

  • Hero Member
  • *****
  • Posts: 2383
  • Karma: +463/-48
    • View Profile
Re: Duda sobre regla de DMZ a Internet sin pasar por toda la LAN
« Reply #1 on: April 13, 2018, 03:14:35 pm »
Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

Offline j.sejo1

  • Full Member
  • ***
  • Posts: 298
  • Karma: +35/-12
    • View Profile
    • Smartit Business Corp
Re: Duda sobre regla de DMZ a Internet sin pasar por toda la LAN
« Reply #2 on: April 13, 2018, 04:01:32 pm »
Adicional a la Regla que dice ptt.

Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir. 

Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar. 

Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.

Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
Hardening Linux
http://www.smartitbc.com/en/contact.html

Offline _neok

  • Jr. Member
  • **
  • Posts: 45
  • Karma: +0/-0
    • View Profile
Re: Duda sobre regla de DMZ a Internet sin pasar por toda la LAN
« Reply #3 on: April 14, 2018, 07:00:51 am »
Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"
Gracias! Mañana lo pruebo y les comento.
Saludos!

Offline _neok

  • Jr. Member
  • **
  • Posts: 45
  • Karma: +0/-0
    • View Profile
Re: Duda sobre regla de DMZ a Internet sin pasar por toda la LAN
« Reply #4 on: April 14, 2018, 07:02:39 am »
Adicional a la Regla que dice ptt.

Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir. 

Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar. 

Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.
Gracias j.sejo1 !
Si lo de permisos en las interfaces lo sabía, igual vale la aclaración para la comunidad.
Saludos!

Offline _neok

  • Jr. Member
  • **
  • Posts: 45
  • Karma: +0/-0
    • View Profile
Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

Solucionado como dice ptt.