Conexão com TS caindo
-
Olá,
Eu liberei algumas portas que quero utilizar na minha rede e bloqueei todo o resto.
Acontece que, quando habilito a regra de desbloqueio das portas e a regra de bloqueio das portas, as conexões a computadores remotos via Terminal Service ficam caindo de 02 em 02 segundos.
Alguma ideia?Segue print de como estão minhas regras.
Desde já grata.
-
luciely,
Computadores remotos solicitam conexões pela Wan para um ou mais hosts da Lan que estejam escutando numa determinada porta. Você tem alguma regra NAT Port Forward? Que regras você tem na Wan? No seu caso, pelo visto, você renomeou a Wan para Internet, não foi?
-
Isso mesmo, minha Wan está renomeada para Internet.
A única regra que coloquei lá é a regra que libera trafego para qualquer lugar.Segue print.
luciely,
Computadores remotos solicitam conexões pela Wan para um ou mais hosts da Lan que estejam escutando numa determinada porta. Você tem alguma regra NAT Port Forward? Que regras você tem na Wan? No seu caso, pelo visto, você renomeou a Wan para Internet, não foi?
-
Ah e não tenho nenhuma regra port foward.
Tem que ser feito?Att
Isso mesmo, minha Wan está renomeada para Internet.
A única regra que coloquei lá é a regra que libera trafego para qualquer lugar.Segue print.
luciely,
Computadores remotos solicitam conexões pela Wan para um ou mais hosts da Lan que estejam escutando numa determinada porta. Você tem alguma regra NAT Port Forward? Que regras você tem na Wan? No seu caso, pelo visto, você renomeou a Wan para Internet, não foi?
-
Vamos aos poucos, então:
1- A terceira regra de cima para baixo (sem descrição), na Internet (Wan), está abrindo todas as portas para a Lan. Isto está expondo todos os servidores e clientes (hosts) da sua Lan. Essa regra deve ser eliminada o quanto antes.
2- Você vai precisar de NAT Port Forward para o IP/Porta do(s) TS. Quando configurar o Nat Port Forward, você verá uma opção bem no pé da página Add associated filter rule. Essa deverá ser sua escolha.
3- Provavelmente vai precisar refazer suas regras na Lan para certos casos que sejam bloqueados após o passo 1.Segue uma cópia de tela para lhe ajudar com o Port Forward. Essa cópia de tela abaixo é uma configuração para o Openfire. Basta adequá-la ao TS:
-
Me parece que, com sua dica do nat Reflection a conexão via ts parou de cair. Estou fazendo uns testes aqui ainda mas, parece que deu certo.
Agora referente a desabilitar aquela regra: quando faço isso paro de navegar.
Pra você entender melhor meu cenário é o seguinte:- Possuo três interfaces de rede configuradas no meu pfsense:
-> rede academica
-> rede administrativa e
-> internet
Na rede acadêmica faço filtragens de navegação via dansguardian + squid. E como foi dito libero as portas que quero e bloqueio as demais. Isso em ambas as redes.
Em cada rede possuo aquela última regra de TCP/UDP * * * * * none, pois sem ela não navego.
O que deveria fazer para excluir essa regra e continuar navegando?
Segue em anexo o print das regras das 3 redes que foram citadas.
Desde já muito grata.
Vamos aos poucos, então:
1- A terceira regra de cima para baixo (sem descrição), na Internet (Wan), está abrindo todas as portas para a Lan. Isto está expondo todos os servidores e clientes (hosts) da sua Lan. Essa regra deve ser eliminada o quanto antes.
2- Você vai precisar de NAT Port Forward para o IP/Porta do(s) TS. Quando configurar o Nat Port Forward, você verá uma opção bem no pé da página Add associated filter rule. Essa deverá ser sua escolha.
3- Provavelmente vai precisar refazer suas regras na Lan para certos casos que sejam bloqueados após o passo 1.Segue uma cópia de tela para lhe ajudar com o Port Forward. Essa cópia de tela abaixo é uma configuração para o Openfire. Basta adequá-la ao TS:
- Possuo três interfaces de rede configuradas no meu pfsense:
-
Me parece que, com sua dica do nat Reflection a conexão via ts parou de cair. Estou fazendo uns testes aqui ainda mas, parece que deu certo.
Agora referente a desabilitar aquela regra: quando faço isso paro de navegar.
Pra você entender melhor meu cenário é o seguinte:- Possuo três interfaces de rede configuradas no meu pfsense:
-> rede academica
-> rede administrativa e
-> internet
Na rede acadêmica faço filtragens de navegação via dansguardian + squid. E como foi dito libero as portas que quero e bloqueio as demais. Isso em ambas as redes.
Em cada rede possuo aquela última regra de TCP/UDP * * * * * none, pois sem ela não navego.
O que deveria fazer para excluir essa regra e continuar navegando?
Segue em anexo o print das regras das 3 redes que foram citadas.
Desde já muito grata.
Vamos aos poucos, então:
1- A terceira regra de cima para baixo (sem descrição), na Internet (Wan), está abrindo todas as portas para a Lan. Isto está expondo todos os servidores e clientes (hosts) da sua Lan. Essa regra deve ser eliminada o quanto antes.
2- Você vai precisar de NAT Port Forward para o IP/Porta do(s) TS. Quando configurar o Nat Port Forward, você verá uma opção bem no pé da página Add associated filter rule. Essa deverá ser sua escolha.
3- Provavelmente vai precisar refazer suas regras na Lan para certos casos que sejam bloqueados após o passo 1.Segue uma cópia de tela para lhe ajudar com o Port Forward. Essa cópia de tela abaixo é uma configuração para o Openfire. Basta adequá-la ao TS:
- Possuo três interfaces de rede configuradas no meu pfsense:
-
Em cada rede possuo aquela última regra de TCP/UDP * * * * * none, pois sem ela não navego.
Esta regra libera tudo o que não foi bloqueado em regras anteriores.
Fora os bloqueios de redes sociais, já pensou em liberar somente os serviços/portas que conhece e deixar o resto bloqueado?
-
Não, nunca pensei..
Como seria isso?
Em cada rede possuo aquela última regra de TCP/UDP * * * * * none, pois sem ela não navego.
Esta regra libera tudo o que não foi bloqueado em regras anteriores.
Fora os bloqueios de redes sociais, já pensou em liberar somente os serviços/portas que conhece e deixar o resto bloqueado?
-
Como seria isso?
Se você usa proxy para navegação por exemplo, libere acesso somente a porta do proxy, por exemplo 3128
Se o servidor de dns é interno, libere acesso a porta 53 tcp e udp somente ao ip dele
E assim por diante…É trabalhoso mas o resultado é um controle bem melhor dos acessos a rede.
-
Entendi.
Vou fazer isso então.
Obrigada aos dois.
Att,
Como seria isso?
Se você usa proxy para navegação por exemplo, libere acesso somente a porta do proxy, por exemplo 3128
Se o servidor de dns é interno, libere acesso a porta 53 tcp e udp somente ao ip dele
E assim por diante…É trabalhoso mas o resultado é um controle bem melhor dos acessos a rede.