En el post anterior vimos como pfSense nos entregaba unas reglas por defecto y lo siguiente es configurar las reglas según nuestro esquema de red. Empecemos por la zona DMZ.
- La primera regla bloqueará el tráfico de la DMZ a la LAN.
- La segunda regla permitirá el tráfico de la DMZ hacia internet.
Recordemos que DMZ sólo tiene una regla y básicamente está bloqueando el tráfico para todas las redes.
Simplemente le damos al botón ⬏añadir y esto me abre una ventana donde podemos crear la nueva regla.
Bloque uno, editar regla de firewall.
- El primer cajón nos muestra la Acción y la damos Block "Denegar".
- Dejamos la casilla Deshabilitado sin marcar.
- La Interfaz la dejamos en DMZ.
- La Dirección de Familia se queda en IPv4.
- El Protocolo le cambiamos a cualquiera.
Luego tenemos el bloque Fuente. La fuente en este caso, dado que estamos tratando de filtrar el tráfico DMZ hacia la LAN la fuente es DMZ. Así que si expandimos la lista que tenemos en el desplegable y encontramos múltiples opciones pero la que vamos a elegir es la que pone Rojo, que hace referencia a la red "network" muy común en firewall's. Luego le asignamos la IP 10.0.0.0/24 que es la red para la DMZ en nuestro diagrama.
Ahora nos iremos a el Destino. El destino es muy similar en términos de configuración a la fuente, en este caso vamos a utilizar LAN net en vez de Rojo "network".
Con esto ya tenemos la acción y las condiciones.
En el último bloque tenemos Opciones adicionales. Aquí podemos colocar una descripción cómo se muestra en la imagen.
Luego damos click en Guardar.
Ahora necesitamos permitir todo el tráfico de la DMZ hacia internet. Vamos a agregar una nueva regla, necesitamos que la nueva regla se agregue debajo de la que nosotros acabamos de crear, para eso vamos a utilizar el botón ⬎Añadir. Vamos a permitir el acceso a internet de la DMZ.
Damos click en Guardar. Aplicamos los cambios.
Eso significa que si yo en este momento voy a Ubuntu Server que se encuentra en la DMZ y hago un ping a la dirección 10.0.0.1 que es la dirección IP configurada en interfaz DMZ del firewall, obtenemos respuesta.
Recordemos que en el post anterior esto no era posible porque no teníamos reglas permitiendo ese tráfico. Ahora probemos a hacer un ping a una dirección en internet.
Pero qué pasa si hago ping a la dirección 172.16.0.4 de la LAN.
No está permitiendo el tráfico porque nosotros tenemos una regla que explícitamente está diciendo que cualquier paquete que vaya desde esa red hacia la red LAN va a ser bloqueado. En el próximo post vamos a configurar las reglas de la LAN y las reglas de la WAN. 👋😉
