@throberth:

Ola,
Estou enfrentando uma grande dificuldade com rules de firewall para roteamento, tenho a seguinte topologia:

(172.16.0.1/30)        (172.16.0.2/30)
  PfsenseA <–---------> routerA  <-----------> routerB  <----------->  PfsenseB
(192.168.1.1)    (191.168.1.2)                      (191.168.2.2)              (192.168.2.1)
    |                                                                                                      |
    |                                                                                                      |
    |                                                                                                      |
  DesktopA                                                                                      DesktopB   
(192.168.1.100)                                                                          (192.168.2.100)

fazendo a seguinte regra de firewall:

pass  in  quick  on $LAN inet from 192.168.1.0/24 to 192.168.2.0/24 tracker 1511256677 keep state

eu consigo realizar ping (ICMP) normalmente entre duas redes normalmente, mas quando vou acessar algum serviço (http) cai na Default deny rule IPv4 (1000000103) e bloqueia o acesso.

Estudando, utilizei a opção "Bypass firewall rules for traffic on the same interface" em  System / Advanced / Firewall & NAT, mas assim não me atende pois fico sem poder realizar regras para os acessos.

Alguém poderia me ajudar?

Caro throberth, se você já se comunica entre as redes (A e B), seu(s)  firewall(s) está(ão) bloqueando.

Verifique suas regras de ida e volta!

Abraços

Bom dia!

Desculpem a demora em retornar, tive problemas de saúde.

DHCP desativado, função repetidor e ja testei com MAC cadastro também e não funcionou. Enfim vai dar mais trabalho mas vou tentar passar um cabo até lá e ver se resolvo o problema.

Obrigado a todos que me ajudaram aqui.

@sitiobarreiras:

Boa tarde, implantei o PFSense na empresa onde trabalho e estou trabalhando com bloqueio utilizando Alias e Rules, lista branca(bloqueando tudo e permitindo só o necessário), estou com dificuldade em liberar os sites do governo exemplo todos os sites gov.br e jus.br entre outros.

Alguém já passou por essa situação ?

Opa, dê uma olhada nas redes em: https://bgp.he.net/  8)

@sitiobarreiras:

Boa tarde, implantei o PFSense na empresa onde trabalho e estou trabalhando com bloqueio utilizando Alias e Rules, lista branca(bloqueando tudo e permitindo só o necessário), estou com dificuldade em liberar os sites do governo exemplo todos os sites gov.br e jus.br entre outros.

Alguém já passou por essa situação ?

opa, você pode pesquisar as redes dos domínios em:  https://bgp.he.net

@guitarcleiton:

@pskinfra:

@guitarcleiton:

@pskinfra:

Caro Reinaldo.Pereira

Tenho um dos meus PFSense´s com rede lan totalmente bloqueada ( sem proxy, direto nas regras do FW ), e foi solicitado apenas a liberação do Skype.

Fiz conforme o "Aliases" informado, pesquisei também em bgp.he.net  e mesmo assim a aplicação não funciona. Obs: Até abre a página do Skype, mas não renderiza completamente.

Cenário do FW para apenas um Host:

Um cliente host com ip 192.168.90.62;

PASS  -> ALL -> 192.168.90.62 -> skypenet
PASS  -> ALL -> 192.168.90.62 -> skypehost
Reject   -> ALL -> 192.168.90.62 -> ALL

Também peguei o seguinte bloco das redes compartilhadas nesse link: https://docs.google.com/document/d/1ozabua0GGD8bikNAk_exJhMZYSrNxKb4npWmFH1ok1w/edit

Manda um print de sua regra, pela que eu entendi lendo seu relato, sua regra esta errada.

Segue guitarcleiton,

Por padrão tudo é bloqueado no PFSense, não precisa da segunda regra negando acesso.
crie a segunda regra liberando a outra aliase tem que ter as  2 SkypeHost e SkypeNet

Obrigado caro guitarcleiton. Eu sei do bloqueio sim!
Essa regra é específica em função de 2 coisas: Logs e pela ação Reject ser mais rápido no bloqueio ao usuário/cliente.

Abraços!

Prezados, enfim consegui resolver.

Esse foi o post que utilizei pra resolver: https://forum.pfsense.org/index.php?topic=97981.0

Muito obrigado, jao_mezari, pskinfra!

O modo mais prático é usando o pacote pfblockerNG, só marcar as listas de países, ele já vai ficar no topo de suas regras por padrão.

Prezados!!

Demorou mas descobri o problema.. a regra estava com "any" no campo protocol, mudei para TCP/UDP e o limiter passou a atuar.
porém não sei explicar o porque que esta alteração resolveu.

obrigado pela colaboração de todos!!

@gledsonmix:

Boa tarde,
os roteadores tem entre 5 a 30 metros de distância do firewall, porém antes de dar pau no firewall ele funcionava com velocidade total, dai após refazer o firewall já foi constatado esse problema.
Já fiz os testes de velocidades tanto do router mais próximo (5 mts), quanto do router mais longe (30 mts) e ambos chega apenas a 20 megas de velocidade, quando conectado direto por cabo RJ45 a velocidade vem TOTAL 50 megas.
Os cabeamentos são passados por  conduits de rede eletricas, mas volto a repetir que antes funcionava normalmente.
A versão que utilizo hoje é V. 2.3.4 32Bits pois a maquina é bem antiga.
Quem puder me ajudar, ainda continuo com o problema.

Faça o teste:

desconecte o cabo de rede de um roteador e conecte direto em um computador e faça a aferição da velocidade, pode ser interferência no cabo de rede, não podemos descartar esta possibilidade.

Você também pode alterar a configuração do Wifi, reduzindo a banda, deixando a conexão mais estável. Exemplo se a banda for 20/40, deixa somente 20MHz, se permitir ainda 10MHz.
Já tentou alterar os canais?

openti, minha recomendação seria utilizar um squid + squidguard. Separe seus usuários por UO (unidade organizacional) no AD e crir ACLs no squidguard uma para cada UO. Aí, vc libera e bloqueia conforme necessidade. Os usuários pertencentes àquela unidade organizacional poderão ter acesso ou não a internet de acordo com a sua vontade. Lá na tela de ACL do squidguard ele te informa a forma como autenticar no LDAP do Windows Server.

@ciprianodf:

Bom dia Amigos!

Estou com um pequeno problema:

Tenho uma VPN IPSEC configurada no Pfsense  entre minha rede interna e um ambiente de desenvolvimento em um provedor de cloud funcionando 100%

Devido a necessidade de execução de trabalhos emergenciais e muitas vezes remoto decidimos conceder acesso a alguns desenvolvedores a uma VPN open vpn client to site para que remotamente eles consigam acessar o ambiente de desenvolvimento na hospedagem.

Consigo me conectar via Open VPN a minha rede interna sem nenhum problema, mas ao tentar me conectar aos servidores na hospedagem ao inves do Pfsense enviar os pacotes para o tunel IPSEC ele está enviando para a internet. Tentei localizar as regras de roteamento da rede interna para o tunel mas nao encontrei.

Por motivos de segurança o provedor de cloud não libera vpn client to site. Por isso a necessidade de passar primeiro pela minha rede interna.

Dados da instalação:

rede interna: 192.168.100.0/24
rede open vpn: 192.168.10.0/29
redes IPSEC site to site: 10.1.53.0/24 e 10.1.43.0/25

Agradeço a  ajuda!

Com as regras você pode definir bloqueios e liberações fera.

Abraços

openti, minha recomendação seria utilizar um squid + squidguard. Separe seus usuários por UO (unidade organizacional) no AD e crir ACLs no squidguard uma para cada UO. Aí, vc libera e bloqueia conforme necessidade. Os usuários pertencentes àquela unidade organizacional poderão ter acesso ou não a internet de acordo com a sua vontade. Lá na tela de ACL do squidguard ele te informa a forma como autenticar no LDAP do Windows Server.

Mas como o danilosv.03 disse:

De uma pesquisada sobre LDAP

Faça isso para você aprender mais.

D4v1XD, Também estou precisando dos relatórios. Você conseguiu fazer funcionar com com db externo ?

Valeu.

Bom dia Tomas,

Eu já estou planejando essa atualização porém antes, preciso ver se não haverá problemas com as pontas remotas já que tenho VPN S2S!

Boa tarde, indica que sua pág de login está com erro…

pois a minha funciona do jeito que vc falou...

quando  ele conecta na rede de visitantes automaticamente abre a janela de autenticação

ATT

a melhor forma de fazer funcionar ok é com WPAD!
vc coloca no script pra não passar pelo proxy quando for o site da receita!
E de preferência procure quais são os IP fixos do serviço e coloque uma regra no firewall para acesso direto!

o meu WPAD é assim:

function FindProxyForURL(url, host) {         // se o site estiver na rede interna, retorna conexao direta.         if (isPlainHostName(host) ||         isInNet(dnsResolve(host), "192.168.1.0",  "255.255.255.0") ||         isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0"))         return "DIRECT";         // se o site tiver os caracteres especificados em seu endereco (se for o sefaz de goias)         if (shExpMatch(url, "*app.sefaz.go.gov.br*") ||         shExpMatch(url, "*receita.fazenda.gov.br*"))         return "DIRECT";         // DEFAULT RULE: All other traffic.         return "PROXY 192.168.1.1:3128"; }

quanto aos IPs da receita tenho esses abaixo. (Faça um alias com essas networks aee e coloca numa regra de liberação de acesso)

161.148.0.0/16
189.9.71.0/24
200.198.239.0/24

esses endereços achei em um link da receita: https://idg.receita.fazenda.gov.br/programas-para-download/receitanet/perguntas-e-respostas/qual-a-configuracao-do-proxy-e-firewall-para-transmissao-pelo-receitanet

@lucasassis:

@jao_mezari:

Em Source Ports acredito que você pode deixar como any e não precisa ser a mesma porta interna para o qual vai ser redirecionado.

Boa tarde, Joao!

Realizei essa mudança e funcionou.

Que bom, cara. Marca como resolvido lá em cima pro pessoal saber que tá ok.

Abraço!

Eu passei por um perrengue pra conseguir usando essa solução, fiz o seguinte:

Criei um Alias com esses endereços e uma regra deixando liberado da LAN para eles na porta 80 e 443

104.131.131.132/32 104.200.24.34/32 109.123.106.250/32 109.74.197.59/32 151.236.219.57/32 162.216.16.201/32 162.216.18.163/32 173.230.146.110/32 173.230.152.57/32 173.255.209.236/32 173.255.213.36/32 173.255.214.49/32 173.255.214.53/32 173.255.218.51/32 173.255.226.186/32 173.255.232.151/32 173.255.234.245/32 173.255.234.85/32 173.255.243.160/32 173.255.245.232/32 173.255.253.150/32 173.255.254.232/32 176.58.100.154/32 176.58.101.140/32 176.58.104.101/32 176.58.110.248/32 176.58.111.122/32 176.58.111.124/32 176.58.111.163/32 176.58.112.126/32 176.58.112.160/32 176.58.115.138/32 176.58.115.39/32 176.58.117.5/32 176.58.117.75/32 176.58.119.151/32 176.58.124.244/32 176.58.97.188/32 176.58.98.13/32 176.58.98.155/32 176.58.99.196/32 176.58.99.197/32 178.79.128.94/32 178.79.138.31/32 178.79.140.188/32 178.79.143.222/32 178.79.150.32/32 178.79.152.167/32 178.79.153.233/32 178.79.157.41/32 178.79.159.237/32 178.79.163.250/32 178.79.164.196/32 178.79.181.233/32 178.79.182.43/32 178.79.183.81/32 178.79.186.194/32 178.79.188.10/32 178.79.190.135/32 178.79.190.174/32 192.155.84.126/32 192.155.86.247/32 192.155.87.170/32 192.81.129.218/32 192.81.134.251/32 198.58.97.43/32 198.74.49.240/32 198.74.57.188/32 198.74.58.243/32 209.157.64.162/32 209.157.64.163/32 209.157.64.164/32 209.157.64.165/32 209.157.64.166/32 209.157.64.167/32 209.157.64.168/32 209.157.64.169/32 209.157.64.170/32 209.157.64.171/32 209.157.64.172/32 209.157.64.173/32 209.157.64.174/32 209.157.64.175/32 209.157.64.176/32 209.157.64.177/32 209.157.66.226/32 209.157.66.227/32 209.157.66.229/32 209.157.66.230/32 209.157.66.232/32 209.157.66.234/32 209.157.66.235/32 209.157.66.236/32 209.157.66.237/32 209.157.66.238/32 209.157.66.239/32 209.157.66.240/32 209.157.66.241/32 209.157.66.242/32 209.157.66.243/32 209.157.66.244/32 209.157.66.245/32 209.157.66.246/32 209.157.66.247/32 209.157.66.248/32 209.157.66.249/32 209.157.66.253/32 212.227.96.110/32 212.71.233.60/32 212.71.251.168/32 212.71.251.182/32 212.71.252.146/32 213.171.205.141/32 213.171.205.238/32 213.171.205.77/32 213.171.205.78/32 213.171.206.148/32 213.171.207.47/32 213.171.207.48/32 213.171.207.62/32 213.171.207.71/32 213.171.207.72/32 217.174.248.233/32 217.174.249.167/32 217.174.249.223/32 217.174.249.232/32 23.239.11.145/32 23.239.13.41/32 23.239.15.84/32 23.92.19.91/32 23.92.26.7/32 23.92.27.240/32 50.116.11.250/32 50.116.14.27/32 50.116.19.218/32 50.116.2.121/32 50.116.3.153/32 50.116.3.42/32 50.116.4.68/32 50.116.50.102/32 50.116.50.105/32 50.116.50.109/32 50.116.50.197/32 50.116.50.202/32 50.116.54.198/32 50.116.61.111/32 50.116.61.155/32 50.116.62.242/32 50.116.63.215/32 50.116.63.216/32 66.175.214.89/32 66.175.223.13/32 66.228.48.183/32 74.207.240.108/32 74.207.252.229/32 74.208.106.28/32 74.208.78.224/32 74.208.79.219/32 74.208.79.224/32 74.208.99.25/32 77.68.39.21/32 77.68.39.31/32 80.85.85.133/32 80.85.85.200/32 80.85.85.58/32 85.159.211.160/32 87.106.104.112/32 87.106.11.214/32 87.106.11.38/32 87.106.12.77/32 87.106.128.170/32 87.106.13.61/32 87.106.141.10/32 87.106.183.224/32 87.106.209.135/32 87.106.209.149/32 87.106.210.57/32 87.106.214.177/32 87.106.240.160/32 88.208.202.90/32 88.208.202.91/32 88.208.248.146/32 88.208.248.164/32 88.208.248.199/32 88.208.248.200/32 88.80.184.106/32 88.80.185.201/32 88.80.190.155/32 96.126.106.194/32 96.126.98.211/32 97.107.134.71/32 91.228.166.14/32 104.131.131.132 104.200.24.34 109.123.106.250 109.74.197.59 151.236.219.57 162.216.16.201 162.216.18.163 173.230.146.110 173.230.152.57 173.255.209.236 173.255.213.36 173.255.214.49 173.255.214.53 173.255.218.51 173.255.226.186 173.255.232.151 173.255.234.245 173.255.234.85 173.255.243.160 173.255.245.232 173.255.253.150 173.255.254.232 176.58.100.154 176.58.101.140 176.58.104.101 176.58.110.248 176.58.111.122 176.58.111.124 176.58.111.163 176.58.112.126 176.58.112.160 176.58.115.138 176.58.115.39 176.58.117.5 176.58.117.75 176.58.119.151 176.58.124.244 176.58.97.188 176.58.98.13 176.58.98.155 176.58.99.196 176.58.99.197 178.79.128.94 178.79.138.31 178.79.140.188 178.79.143.222 178.79.150.32 178.79.152.167 178.79.153.233 178.79.157.41 178.79.159.237 178.79.163.250 178.79.164.196 178.79.181.233 178.79.182.43 178.79.183.81 178.79.186.194 178.79.188.10 178.79.190.135 178.79.190.174 192.155.84.126 192.155.86.247 192.155.87.170 192.81.129.218 192.81.134.251 198.58.97.43 198.74.49.240 198.74.57.188 198.74.58.243 209.157.64.162 209.157.64.163 209.157.64.164 209.157.64.165 209.157.64.166 209.157.64.167 209.157.64.168 209.157.64.169 209.157.64.170 209.157.64.171 209.157.64.172 209.157.64.173 209.157.64.174 209.157.64.175 209.157.64.176 209.157.64.177 209.157.66.226 209.157.66.227 209.157.66.229 209.157.66.230 209.157.66.232 209.157.66.234 209.157.66.235 209.157.66.236 209.157.66.237 209.157.66.238 209.157.66.239 209.157.66.240 209.157.66.241 209.157.66.242 209.157.66.243 209.157.66.244 209.157.66.245 209.157.66.246 209.157.66.247 209.157.66.248 209.157.66.249 209.157.66.253 212.227.96.110 212.71.233.60 212.71.251.168 212.71.251.182 212.71.252.146 213.171.205.141 213.171.205.238 213.171.205.77 213.171.205.78 213.171.206.148 213.171.207.47 213.171.207.48 213.171.207.62 213.171.207.71 213.171.207.72 217.174.248.233 217.174.249.167 217.174.249.223 217.174.249.232 23.239.11.145 23.239.13.41 23.239.15.84 23.92.19.91 23.92.26.7 23.92.27.240 50.116.11.250 50.116.14.27 50.116.19.218 50.116.2.121 50.116.3.153 50.116.3.42 50.116.4.68 50.116.50.102 50.116.50.105 50.116.50.109 50.116.50.197 50.116.50.202 50.116.54.198 50.116.61.111 50.116.61.155 50.116.62.242 50.116.63.215 50.116.63.216 66.175.214.89 66.175.223.13 66.228.48.183 74.207.240.108 74.207.252.229 74.208.106.28 74.208.78.224 74.208.79.219 74.208.79.224 74.208.99.25 77.68.39.21 77.68.39.31 80.85.85.133 80.85.85.200 80.85.85.58 85.159.211.160 87.106.104.112 87.106.11.214 87.106.11.38 87.106.12.77 87.106.128.170 87.106.13.61 87.106.141.10 87.106.183.224 87.106.209.135 87.106.209.149 87.106.210.57 87.106.214.177 87.106.240.160 88.208.202.90 88.208.202.91 88.208.248.146 88.208.248.164 88.208.248.199 88.208.248.200 88.80.184.106 88.80.185.201 88.80.190.155 96.126.106.194 96.126.98.211 97.107.134.71

Após liberar todos esses endereços nunca mais tive problemas com Eset
Lembre-se de ir também no seu painel do Eset e colocar suas configurações de rede corretamente, ai seus clientes receberão direito, as portas que tive que liberar além dessas (80 e 443) para o Eset:

9980 e 9981

Aqui não tive nunca mais problemas com o Eset. Recomendo que crie as regras tanto no firewall quando uma whitelist no Squidguard para esses ips e safe ports acl também para essas portas acima.
Att.

Obrigado Cavalcante, vc é fera também.
Altere o post como resolvido!

Abraços.

Opa. Também tenho essa dúvida.

alguém pode ajudar?