NAT Reversa

Neo_X
(usa CentOS)

Enviado em 05/06/2013 - 12:29h

Olá pessoal, estou com uma grande dificuldade em configurar meu pfsense na rede. Hoje tenho um firewall em produção onde ele é o gw da rede 192.168.0.3. Escolhi o pfsense depois de muitas pesquisas e recomendações de vários amigos sobre esse firewall.

Como estou migrando aos poucos as regras de NAT do firewall antigo para o novo (192.168.0.250) estou com esse cenários 2 gateway na rede do Antigo e o Novo Firewall.

Antigo: 192.168.0.3 PRINCIPAL

Novo: 192.168.0.250

NAT - WAN - LAN 192.168.0.200 porta 443 (O gateway dessa maquina é o 192.168.0.3)


Estou com essa dúvida porque tenho um firewall (CentOS)e configurei uma NAT para essa máquina com o gateway antigo e funciona normalmente, mas no pfsense nada...estou há 4 dias e nada...


Se alguém puder ajudar agradeço.

nanatinho
(usa Debian)

Enviado em 05/06/2013 - 12:38h

Bom dia.

Seu link é profissional ou ADSL?

Se for ADSL você terá que alterar o NAT que existe nele jogando para o IP do novo Firewall.


Abraço e fq com DEUS!!!

Neo_X
(usa CentOS)

Enviado em 05/06/2013 - 12:39h

Link dedicado.


O pacote entra pela wan passa pelo gw do firewall novo chega até a maquina local e esta maquina encaminha para o gw do firewall antigo.

nanatinho
(usa Debian)

Enviado em 10/06/2013 - 12:43h

"Link dedicado.


O pacote entra pela wan passa pelo gw do firewall novo chega até a maquina local e esta maquina encaminha para o gw do firewall antigo."


Boa tarde.

Tente verificar o seguinte:

1. Arquivo host
2. Se o gateway da máquina foi alterado
3. Se existe alguma regra de redirecionamento nesta máquina (se o SO for linux)


Abraço e fq com DEUS!!!

Neo_X
(usa CentOS)

Enviado em 11/06/2013 - 08:26h

(1. Arquivo host)
Não tem nada nesse arquivo no servidor local

(2. Se o gateway da máquina foi alterado)
O gw continua com o antigo


(3. Se existe alguma regra de redirecionamento nesta máquina (se o SO for linux))
Não existe nenhuma regra no firewall antigo.



A NAT só funciona quando coloco o gw (novo) do pfsense. Me disseram que tenho que configurar o NAT Outbound para que o pacote retorne pelo mesmo caminho de entrada.

Neo_X
(usa CentOS)

Enviado em 12/06/2013 - 10:12h

Você trabalha com pfsense?

nanatinho
(usa Debian)

Enviado em 12/06/2013 - 12:51h

"(2. Se o gateway da máquina foi alterado)
O gw continua com o antigo"

Boa tarde.

Neste caso você terá que alterar o gateway para o novo, porque se não, o pacote será enviado para o firewall que o gateway está configurado no servidor, pois na resposta, ou seja, na volta do pacote, é uma rede o servidor não conhece e consequentemente o pacote será enviado para tal firewall (gateway).

A não ser que você faça um outro nat, alterando o IP de origem para o IP do Firewall que está recebendo o pacote, levando em consideração que o pacote entra pelo Firewall que você chamado de novo (192.168.0.250), por exemplo:

iptables -t nat -A POSTROUTING -d IP_SERVIDOR -j SNAT IP_FIREWALL_NOVO

A não ser que tenha algum impeditivo, acredito que se você apenas alterar o gateway será suficiente.


Abraço e fq com DEUS!!!

Neo_X
(usa CentOS)

Enviado em 12/06/2013 - 13:05h

Exatamente, se eu trocar o ip do firewall por o novo (250) funciona. O problema é que tenho varios servidores terei muito trabalho. No CentOS é uma blz srsrr.


Vou fazer a NAT que recomendou....

Obrigado.

Neo_X
(usa CentOS)

Enviado em 12/06/2013 - 13:15h

Fiz a regra na LAN

Interface: LAN
Protocol: any
Source: 192.168.0.10 (que esta com o gw antigo)
Destination: 192.168.0.250


Não funcionou :(

nanatinho
(usa Debian)

Enviado em 17/06/2013 - 19:00h

Boa noite.

É e não vai funcionar mesmo. Dei mole, pois o Firewall (novo) não saberá para quem devolver o pacote, pois foi um pacote que ele não estava esperando.

Só para entender, qual a necessidade de se ter dois gateways, para a internet, na tua rede?



Abraço e fq com DEUS!!!

Neo_X
(usa CentOS)

Enviado em 17/06/2013 - 19:55h

Então,

Preciso trocar o firewall e a rede é muito grande srrsr...Migrando as regras aos poucos....e mudando o gateway dos servidores.

nanatinho
(usa Debian)

Enviado em 19/06/2013 - 12:37h

Boa tarde.

Entendi, bom neste caso não tem muito o que se fazer.

É dar continuidade ao que você mencionou mesmo, migrar regras e alterar gateway; ou criar regras no firewall novo, e alterar o IP do firewall novo para o IP do firewall antigo. - Mas dependendo do tamanho e da complexidade de sua rede não aconselho esta última ação.


Abraço e fq com DEUS!!!