Várias faixas de IP na zona verde

[natanael.castro]

Olá galera, sou novo por aqui e também novo na área de firewall e essas coisas. Aqui na empresa onde trabalho nós compramos um PowerEdge R720 com 8 placas de rede. Depois de muitos anos em funcionamento, agora que a empresa abriu os olhos e está investindo em uma boa infraestrutura de TI. Atualmente, a rede é completamente vulnerável, sem nenhum firewall nem nada, estou tentando implementar o Endian para acabar com esse problema, nas configurações de rede do Endian eu tenho assim:
– Zona vermelha: 189.XXX.XXX.XXX (tenho 5 IP’s definido nessa zona, todos esses IP’s foram fornecidos pela Embratel);
– Zona verde: 192.168.1.1/24; 10.1.1.47/24; 10.24.193.47/24; 192.168.1.2/24
– Zona laranja: 172.16.0.1/16;

Através de “Redirecionamento de Porta / NAT de Destino” e “NAT de Origem” estou conseguindo faze a zona verde “enxergar” a laranja mascarando a faixa de IP da DMZ. Pois estou fazendo todo o redirecionamento de portas quando é da VERDE para a LARANJA. Por exemplo, o cara na VERDE quer acessar um sistema hospedado em um servidor na LARANJA, ele acessa pelo navegador com o IP do firewall na porta 8080 e o firewall traduz isso para o IP dentro da DMZ.
Estou rodando também um servidor DHCP na faixa 192, só que como ainda estou em fase de teste, tem alguns serviços que não estão escondidos pelo firewall e estão dentro da faixa 10.1.1.0/24, por isso estou com esse IP 47 na minha ZONA VERDE do Endian.
Quando uma máquina pega DHCP (faixa 192) ele não consegue pingar (nem fazer nenhuma outra coisa) na faixa 10.1.1.0/24, alguém poderia me ajudar?

Acho que seja interessante falar que estou usando o Endian 2.5.1. Não sei se fui bem claro, se faltou alguma informação, por favor, me digam!

[Eduardo Silva]

Natanel,

Qualquer roteador que você configure “2 redes na mesma porta” vai apresentar algumas particularidades.

A princípio, você estará fazendo roteamento na mesma interface, funciona se cuidar de todos os detalhes, mas é chato para manter e tem uma série de detalhes pequenos.

No seu caso, eu faria por exemplo na rede azul, saindo um cabo direto para um roteador (exemplo mikrotik com 5 ou 8 portas), e para cada porta do mikrotik, eu associaria uma rede distinta.
Exemplo

Porta1: interligação com o endian, usando uma subnet com dois ips apensa (172.16.254.0/30)
Porta2: 172.20.2.0/24
Porta3: 172.20.3.0/24
Porta4: 172.20.4.0/24
Porta5: 172.20.5.0/24
e assim por diante…

Ao invés de usar source nat/masquerade no mikrotik, eu criaria uma rota estática no endian, dizendo que a rede “172.20.0.0/16” apontaria para o ip do mikrotik: 172.16.254.2
Desta forma, o endian iria registrar nos logs, os ips originais das estações de trabalho.
Um router mikrotik capaz de fazer essas subdivisões custa menos de R$200,00 e torna o teu trabalho mais simples e claro.

Ou isso, ou eu reduziria para uma subnet por interface no endian.

[]’s

[natanael.castro]

Galera, a situação mudou um pouco.
Criei a zona azul e coloquei a faixa 10.1.1.0/24 nela e na faixa verde eu tenho a faixa 192.168.1.0/24.
Como faço para uma máquina que pegou o IP 192.* enxergar as máquinas 10.*?

[mayke007]

Nessa nova situação o endian ja deveria fazer isso de modo automatico, uma vez que ele ele e o roteador e por padrão ele ja cria esses acessos a rede “local” e a “DMZ”. vc vai em FIREWALL e em TRAFEGOS INTER-ZONAS ja está tudo configurado e com os acessos entre as redes liberadas.

o endian está sendo seu roteador(gateway) ou ele ta so fazendo essa divisão de rede para vc?

Seu servidor DHCP e separado?

• Esta resposta foi modificada 10 anos, 5 meses atrás por mayke007.

[Autor]

Posts