Liberar portas no PFsense

felipsobral

@marcelloc:

repetindo exatamente o que está no post que indiquei..

Mude no parâmetro de tcpdump que você rodou wan por pppoe0

tcpdump -ni pppoe0 port 3389

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pppoe0, link-type NULL (BSD loopback), capture size 96 bytes

marcelloc

@felipsobral:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pppoe0, link-type NULL (BSD loopback), capture size 96 bytes

Se neste tempo em que o tcpdump estava ouvindo a interface você tentou acessar o terminal service via internet, então com certeza o bloqueio acontece antes de chegar no pfsense e portanto não é problema/erro/falha do/no pfsense.

felipsobral

@marcelloc:

@felipsobral:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pppoe0, link-type NULL (BSD loopback), capture size 96 bytes

Se neste tempo em que o tcpdump estava ouvindo a interface você tentou acessar o terminal service via internet, então com certeza o bloqueio acontece antes de chegar no pfsense e portanto não é problema/erro/falha do/no pfsense.

Acredito eu q vc tentou acessar agora pois chegou a informação aqui, então quer dizer q está chegando no pfsense, vou postar o q chegou

felipsobral

@felipsobral:

@marcelloc:

@felipsobral:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pppoe0, link-type NULL (BSD loopback), capture size 96 bytes

Se neste tempo em que o tcpdump estava ouvindo a interface você tentou acessar o terminal service via internet, então com certeza o bloqueio acontece antes de chegar no pfsense e portanto não é problema/erro/falha do/no pfsense.

Acredito eu q vc tentou acessar agora pois chegou a informação aqui, então quer dizer q está chegando no pfsense, vou postar o q chegou

10:11:06.303269 IP 161.z.191.205.80 > 187.112.x.y.3389: Flags [R], seq 3907997620, win4096, length 0

Obs: Agora foi q eu entendir q era pra eu inserir no comando tcpdump -ni pppoe0 port 3389 e tentar fazer a conexão de fora pra ver se chegava, depois de vc ter falado comigo q eu vir a solicitação chegando de um ip externo foi q deduzir, logo entrei no forum e postei. mas em fim, vc agora tem alguma sugestão parceiro?

marcelloc

@felipsobral:

10:11:06.303269 IP 161.z.191.205.80 > 187.112.x.y.3389: Flags [R], seq 3907997620, win4096, length 0

Este pacote não é do seu teste de terminal service, continuo com a mesma opinião do post anterior

felipsobral

@marcelloc:

@felipsobral:

10:11:06.303269 IP 161.y.191.205.80 > 187.112.x.z.3389: Flags [R], seq 3907997620, win4096, length 0

Este pacote não é do seu teste de terminal service, continuo com a mesma opinião do post anterior

Vc não entendeu o q eu quis dizer, mas em fim, vou postar o do meu TS externo, a informação q está chegando no pfsense

10:26:12.050629 IP 177.z.135.129.64825 > 187.112.X.Y.3389 Flags [ S ], seq 2549288895, win 8192, options [mss 1452,nop,wscale 8, nop,nopsackOK], length 0
10:26:15.783499 IP 177.z.135.129.64825 > 187.112.X.Y.3389 Flags [ S ], seq 2549288895, win 8192, options [mss 1452,nop,wscale 8, nop,nopsackOK], length 0
10:26:21.784618 IP 177.z.135.129.64825 > 187.112.X.Y.3389 Flags [ S ], seq 2549288895, win 8192, options [mss 1452,nop,wscale 8, nop,nopsackOK], length 0

Obs: estou com um notebook de frente pra meu pfsense com um modem 3g, dou o comando no console do pfsense e ele fica aguardando pra receber os pacotes ok ? quando tento acessar do meu ts no notebook na mesma hora aparece essas informações acima, acredito q seja da minha tentativa de conexão. vc consegue decifrar algum erro nesse relatório ?

marcelloc

Executa o mesmo comando na lan(usando o nome da interface no lugar da palavra lan) agora.

Pesquisa mais um pouco sobre o tcpdump e firewall felipsobral, o que você está postando/querendo é um passo a passo detalhado de com se trabalha com firewall.

Não esqueça também de mascarar seu ip nos posts, nem todos que leem/acessam este fórum estão bem intencionados

att,
Marcello Coutinho

felipsobral

@marcelloc:

Executa o mesmo comando na lan(usando o nome da interface no lugar da palavra lan) agora.

Pesquisa mais um pouco sobre o tcpdump e firewall felipsobral, o que você está postando/querendo é um passo a passo detalhado de com se trabalha com firewall.

Marcelo, realmente não entendo de Firewall, mas conheço muita coisa e acho q é o suficiente para pelomenos deixar esse terminal service funcionado, peço ajuda para deixar ele funcionando e depois vou dar seguimento aos estudos. pois de agora por diante firewall vai fazer parte da minha rotina me ajude por favor.

felipsobral

@felipsobral:

@marcelloc:

Executa o mesmo comando na lan(usando o nome da interface no lugar da palavra lan) agora.

Pesquisa mais um pouco sobre o tcpdump e firewall felipsobral, o que você está postando/querendo é um passo a passo detalhado de com se trabalha com firewall.

Marcelo, realmente não entendo de Firewall, mas conheço muita coisa e acho q é o suficiente para pelomenos deixar esse terminal service funcionado, peço ajuda para deixar ele funcionando e depois vou dar seguimento aos estudos. pois de agora por diante firewall vai fazer parte da minha rotina me ajude por favor.

NA LAN APARECE ASSIM
10:45:08.425866 IP 177.z.135.129.65081 > 10.0.0.215.3389 Flags [ S ], seq 1231559887, win 8192, options [mss 1452,nop,wscale 8, nop,nopsackOK], length 0

marcelloc

@felipsobral:

NA LAN APARECE ASSIM
10:45:08.425866 IP 177.z.135.129.65081 > 10.0.0.215.3389 Flags [ S ], seq 1231559887, win 8192, options [mss 1452,nop,wscale 8, nop,nopsackOK], length 0

O pacote tem que chegar em uma interface, sair pela outra e voltando da estacão/servidor para o firewall conseguir devolver para o cliente/ip na internet.

seu tcpdump mostra que a maquina/servidor windows não sabe/consegue devolver o pacote, o que pode indicar:

• gateway errado

• mascara errada

• firewall no servidor windows habilitado

aulas de hoje(pesquisadas no google):

http://www.infowester.com/portastcpudp.php
O funcionamento do TCP é baseado em conexões. Assim, para um computador cliente iniciar uma "conversa" com um servidor, é necessário enviar um sinal denominado SYN para este último. O servidor então responde enviando um sinal SYN combinado com um sinal de nome ACK para confirmar a conexão. O cliente responde com outro sinal ACK, fazendo com que a conexão esteja estabelecida e pronta para a troca de dados. Por ser feita em três transmissões, esse processo é conhecimento como three-way handshake (algo como triplo aperto de mãos)

http://www.networkworld.com/redesign08/subnets/cisco/022508-ch1-cisco-networking-simplified.html?page=3
How TCP Connections Are Established
End stations exchange control bits called SYN (for synchronize) and Initial Sequence Numbers (ISN) to synchronize during connection establishment. TCP/IP uses what is known as a three-way handshake to establish connections.

To synchronize the connection, each side sends its own initial sequence number and expects to receive a confirmation in an acknowledgment (ACK) from the other side. The following figure shows an example.

felipsobral

@marcelloc:

@felipsobral:

NA LAN APARECE ASSIM
10:45:08.425866 IP 177.z.135.129.65081 > 10.0.0.215.3389 Flags [ S ], seq 1231559887, win 8192, options [mss 1452,nop,wscale 8, nop,nopsackOK], length 0

O pacote tem que chegar em uma interface, sair pela outra e voltando da estacão/servidor para o firewall conseguir devolver para o cliente/ip na internet.

seu tcpdump mostra que a maquina/servidor windows não sabe/consegue devolver o pacote, o que pode indicar:

• gateway errado

• mascara errada

• firewall no servidor windows habilitado

aulas de hoje(pesquisadas no google):

http://www.infowester.com/portastcpudp.php
O funcionamento do TCP é baseado em conexões. Assim, para um computador cliente iniciar uma "conversa" com um servidor, é necessário enviar um sinal denominado SYN para este último. O servidor então responde enviando um sinal SYN combinado com um sinal de nome ACK para confirmar a conexão. O cliente responde com outro sinal ACK, fazendo com que a conexão esteja estabelecida e pronta para a troca de dados. Por ser feita em três transmissões, esse processo é conhecimento como three-way handshake (algo como triplo aperto de mãos)

http://www.networkworld.com/redesign08/subnets/cisco/022508-ch1-cisco-networking-simplified.html?page=3
How TCP Connections Are Established
End stations exchange control bits called SYN (for synchronize) and Initial Sequence Numbers (ISN) to synchronize during connection establishment. TCP/IP uses what is known as a three-way handshake to establish connections.

To synchronize the connection, each side sends its own initial sequence number and expects to receive a confirmation in an acknowledgment (ACK) from the other side. The following figure shows an example.

Marcelo vou ser eternamente grato a vc pelas instruções, mas acho q vc pensa q sou totalmente leigo, não sou bem assim, estudei isso no meu curso de redes, sei o q é um a Solicitação sym uma resposta ack, etc… só não sei como está acontecendo isso só com o terminal service, pois tenho um servidor FTP e funciona normal, servidor de CFTV e Servidor de impressão, todos funcionando externamente perfeitamente. o Firewall do windows da máquina q estou tentando conectar o ts está desativado o, a mascara estou utilizando classe C

marcelloc

@felipsobral:

…acho q vc pensa q sou totalmente leigo, não sou bem assim, estudei isso no meu curso de redes,...

Então coloque em prática seus conhecimentos, coragem!

@felipsobral:

sei o q é um a Solicitação sym uma resposta ack, etc… só não sei como está acontecendo isso só com o terminal service, pois tenho um servidor FTP e funciona normal, servidor de CFTV e Servidor de impressão, todos funcionando externamente perfeitamente. o Firewall do windows da máquina q estou tentando conectar o ts está desativado o, a mascara estou utilizando classe C

Não tenho mais como sugerir nada neste tópico, seus tcpdumps mostram que o pfsense está fazendo seu papel.
Verifique a configuração do seu servidor windows até conseguir fazer ele devolver o pacote para o firewall.

att,
Marcello Coutinho

felipsobral

@marcelloc:

@felipsobral:

…acho q vc pensa q sou totalmente leigo, não sou bem assim, estudei isso no meu curso de redes,...

Então coloque em prática seus conhecimentos, coragem!

@felipsobral:

sei o q é um a Solicitação sym uma resposta ack, etc… só não sei como está acontecendo isso só com o terminal service, pois tenho um servidor FTP e funciona normal, servidor de CFTV e Servidor de impressão, todos funcionando externamente perfeitamente. o Firewall do windows da máquina q estou tentando conectar o ts está desativado o, a mascara estou utilizando classe C

Não tenho mais como sugerir nada neste tópico, seus tcpdumps mostram que o pfsense está fazendo seu papel.
Verifique a configuração do seu servidor windows até conseguir fazer ele devolver o pacote para o firewall.

att,
Marcello Coutinho

Mais Marcelo, eu já habilitei até outro pc da rede para receber conexões remotas e faço a configuração de endereço pra ele e não funciona. de dentro da rede funciona dos dois modos, tanto pelo meu dns dynamico quanto pelo ip do servidor, como pode isso ? talvez vc tenha alguma ideia com essas informações, já q vc tem muita experiência.