[Resolvido] - Problema acessar servidor web na dmz a partir da rede local
-
Tenho pfsense 2.0.1 64bits
redeLink 200.201.202.200/28
redeDMZ 10.10.10.0/24
redeLocal 192.168.0.0/24Virtual IP (VIP) do tipo carp com ip externo: 200.201.202.203
NAT 1:1 do 200.201.202.203 para 10.10.10.203O servidor 10.10.10.203 disponibiliza o ssh (22), ftp (21) e http (80).
Quando eu acesso através da internet o ip 200.201.202.203 nos serviços, 22,21 e 80 funciona normalmente, ou seja, acesso externo ao servidor web esta ok.
Quando eu acesso atraves da rede local (origem 192.168.0.3) o servidor 10.10.10.203 nos serviços 21 e 22 funcina normalmente, mas não funciona na porta 80.
E neste teste a partir da rede interna eu ativei o tcpdump na interface da dmz do fw e pude verificar que passa pacote da rede local para rede dmz somente quando é a porta 21 e 22, quando a porta é 80 no ip da dmz (10.10.10.203) nao aparece nenhum pacote.O web redirect da interface web está desativado e estou usando a adm web do pfsense em https (443).
Alguem tem alguma ideia de como posso resolver isso o problema de acesso a porta 80 no servidor da dmz a partir da rede local?
Muito Obrigado
-
Loammy,
Bem vindo ao fórum! :)
Você tem mais algum serviço rodando neste servidor? squid, captive portal?
regra de firewall bloqueando ou forçando load balance na 80?
-
Muito Obrigado marcelloc…
No pfsense está rodando o squid na porta 3128 com balanceamento de link atraves de uma regra de Foating.
Regra de firewall não é, porque não aparece nos logs do firewall, só se for devido a regra mencionada acima, mas não acho que seja isso...
Obrigado.
-
Squid esta no modo transparente ou os clientes mandam tudo(inclusive a requisição 80 da dmz) para o squid?
Sua regra na aba floating nao trata porta 80? Veja com o tcpdump se o pacote nao esta indo parar na wan/wan2.
-
O squid não está no modo transparente não… Usamos o modo ativo.
Esse lance de ver com o tcpdump se os pacotes não vão pra wan1 ou wan2 me pareceu boa... vou verificar e posto o resultado...
Acho que vc matou a charada... vou averiguar a regra do floating tb... :D
Obrigado.
-
Marcelloc, era mesmo o que voce comentou…
Fiz o teste com o tcpdump e o pacote foi mesmo redirecionado para a interface de rede do link de internet. Isso ocorria porque eu não estava tratando a regra de floating, após fazer isso funcionou perfeitamente...
Muito Obrigado pela luz... kkkkkkkk
Abs
-
favor altere o status como resolvido..
