Bem-vindo à Comunidade UBNT

Configuração de DMZ

labdpilabdpi 0 Pontos
Bom dia a todos, tenho que configurar um EdgeRouter PoE 5 como LoadBalance, até ai tudo bem, está funcionando com dois links, porém estou tendo dificuldades para configurar uma DMZ, pois é a primeira vez que configuro um aparelho Ubiquiti e estou tendo muita dificuldade, se alguém puder me indicar qual a melhor forma de configurar a DMZ eu agradeço. Obrigado.

Comentários

  • UBNT-SamuelUBNT-Samuel 736 Pontos
    O que você chama de DMZ deve ser a exposição de todas as portas do seu roteador na interface da WAN para que seja possível o acesso externo. Sendo isso, é importante ter em mente que essa é uma prática muito ruim do ponto de vista de segurança. O que você deve fazer é determinar quais portas precisa expor individualmente através da configuração de DNAT (port-forwarding) para que seja possível acessar recursos/serviços na rede interna a partir da rede externa. O vídeo que vou embutir no próximo comentário explica como fazer isso.
  • UBNT-SamuelUBNT-Samuel 736 Pontos

  • labdpilabdpi 0 Pontos
    Certo, assisti o vídeo e a configuração do Port Forward é realmente bem simples. Então apenas confirmando, não existe realmente uma forma mais simples de direcionar todas as portas para um único host certo? sem que isso seja feito individualmente, assim como nos roteadores mais comuns.
  • UBNT-SamuelUBNT-Samuel 736 Pontos
    Exato, não existe essa forma de exposição de todas as portas de uma única vez através de uma "função DMZ" porque o EdgeRouter é um roteador corporativo e essa prática é um risco enorme de segurança, por isso é desencorajada em qualquer rede corporativa onde existe preocupação com segurança. Se ainda assim você estiver ciente dos riscos e quiser criar manualmente uma regra de DNAT com esse perfil, siga as instruções do link abaixo:

    https://community.ubnt.com/t5/EdgeRouter/Setting-up-DMZ-on-an-EdgeRouter/td-p/2505198
  • labdpilabdpi 0 Pontos
    Muito obrigado pela ajuda, se possível só gostaria de esclarecer uma dúvida, pois de acordo com a foto eu informo primeiro a interface Wan que está recebendo a comunicação e depois o host que receberá as informações, logo abaixo seleciono todos os protocolos, e na última parte onde escolho o destino, o tutorial manda colocar a porta Wan, mas o destino não deveria ser pela minha porta Lan? Se puder me esclarecer mais essa dúvida será de grande ajuda.
  • UBNT-SamuelUBNT-Samuel 736 Pontos
    A interface de destino deve ser a WAN porque representa entrada do tráfego externo no ER que vai receber a conexão. Mais uma vez vez reforço que essa é uma péssima prática de segurança...
  • labdpilabdpi 0 Pontos
    Ok, realizei as configurações conforme discutimos, mas ainda não funcionou, vou explicar o cenário, temos na empresa um servidor linux que trata todas as regras de firewall, por isso preciso da dmz, para que todos os protocolos sejam redirecionados para o host do meu linux, estou testando mandando pingar de uma outra empresa até a minha, mas por algum motivo o icmp está sendo barrado, para a DMZ funcionar é somente isso que está no tutorial ou existe algum outro direcionamento ou rota que deva ser configurada?
  • R4V3RR4V3R 8402 Pontos
    editado abril 16
    Você parece estar usando roteamento duplo, o que não é uma boa idéia... Ainda mais quando precisa de redirecionamento de portas e está usando load-balance. Resolver essa questão aí não vai ser tão simples quanto você imagina. Tem solução, mas vai exigir um conhecimento amplo sobre a plataforma, algo bem complicado de fazer por meio deste fórum ;)
  • UBNT-SamuelUBNT-Samuel 736 Pontos
    Bom, então eu sugeriria simplesmente optar pelo EdgeRouter ou pelo firewall Linux como roteador de borda da sua rede. Todas as regras de firewall que você tem no iptables do Linux podem ser configuradas no EdgeRouter através da interface gráfica. Se por alguma razão o seu desenho de rede demandar duas camadas para separar o roteamento inter-VLAN (interno) do roteamento LAN/WAN (externo), algo comum em empresas maiores, então naturalmente haverá muito mais complexidade. Nesses casos as empresas possuem um profissional/time especializado em roteamento/firewall para lidar com essa complexidade. Se não for esse o seu caso, definitivamente recomendo utilizar um único roteador na borda para simplificar as configurações.
Entre ou Registre-se para fazer um comentário.