Liberação de portas Floating + NAT com VIP

marcelloc

destination nestes casos nao podem ser any.

neo_X

Entao,

Mas la em cima eu escolho a interface, que no meu caso sao duas (Telefonica e ALGAR)

No destination tenho somente a opção de escolher uma rede, seria a LAN?

neo_X

Alguém poderia me ajudar?

Na opção any tentei todas as formas e não foi… :(

marcelloc

Provavelmente você tem um nat da wan1 e wa2 para sua lan.

O mais indicado é fazer os nats para cada interface e marcar a opção de criar a regra automaticamente.

neo_X

Tenho as NAT sim… Em outro ambiente onde possuo somente um LINK WAN as regras funcionam normalmente. Somente esse que possui duas WAN não funciona.

nat.jpg_thumb

neo_X

Alguém?
Tentei de todos os modos, li o tutorial do pfsense, pesquisei e nada :(

Estou trocando o firewall pelo pfsense, onde o antigo firewall é o gateway da rede. No package capture do pfsense, o conexão e feita tanto na WAN para LAN e LAN para WAN. Mas a liberação da porta na abre, somente as SSH e o hhtps do webconfigurator.

4 dias já e nada.

marcelloc

Se você tem os nats criados com a opção de criar as regras associadas, você não precisa de regras na aba floation.

dica 2: use a console/ssh com o tcpdump para debugar.

neo_X

Entendi,

Na NAT que criei a porta continua fechada e o tcpdump retorna isso:

[2.0.3-RELEASE][root@fwempresa.local]/root(8): tcpdump -nv -i xl0 | grep -i 187.115.X.117
tcpdump: listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes
187.115.X.117.2282 > 187.X.X.189.443: Flags [ S ], cksum 0x6ae7 (correct), seq 189988249, win 65535, options [mss 1452,nop,nop,sackOK], length 0
187.115.X.117.2282 > 172.16.2.156.443: Flags [ S ], cksum 0x8101 (correct), seq 189988249, win 65535, options [mss 1452,nop,nop,sackOK], length 0
187.115.X.117.2282 > 187.X.X.189.443: Flags [ S ], cksum 0x6ae7 (correct), seq 189988249, win 65535, options [mss 1452,nop,nop,sackOK], length 0
187.115.X.117.2282 > 172.16.2.156.443: Flags [ S ], cksum 0x8101 (correct), seq 189988249, win 65535, options [mss 1452,nop,nop,sackOK], length 0
187.115.X.117.2282 > 187.X.X.189.443: Flags [ S ], cksum 0x6ae7 (correct), seq 189988249, win 65535, options [mss 1452,nop,nop,sackOK], length 0
187.115.X.117.2282 > 172.16.2.156.443: Flags [ S ], cksum 0x8101 (correct), seq 189988249, win 65535, options [mss 1452,nop,nop,sackOK], length 0

IP: 187.115.X.117 = IP de origem
IP: 187.x.x.189 = IP de destino
IP: 172.16.2.156 = IP LAN porta 443

Comunicação está tendo….

Quando dou um telnet na porta nao abre

marcelloc

use tcpdump -nv -i xl0 host 187.115.X.117 no lugar de usar grep.

escute tanto na wan quanto na lan e verifique seu suas regras não estão com gateway configurado.

neo_X

[2.0.3-RELEASE][root@fw.empresa.local]/root(2): tcpdump -nv -i xl0 host 187.115.x.117
tcpdump: listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes

16:54:56.561308 IP (tos 0x0, ttl 121, id 11611, offset 0, flags [DF], proto TCP (6), length 48)
    187.115.x.117.2470 > 187.9.9.189.443: Flags [s], cksum 0x27ff (correct), seq 3152514864, win 65535, options [mss 1452,nop,nop,sackOK], length 0
16:54:56.561346 IP (tos 0x0, ttl 121, id 11611, offset 0, flags [DF], proto TCP (6), length 48)
    187.115.x.117.2470 > 172.16.2.156.443: Flags [s], cksum 0x3e19 (correct), seq 3152514864, win 65535, options [mss 1452,nop,nop,sackOK], length 0
16:54:59.413221 IP (tos 0x0, ttl 121, id 12343, offset 0, flags [DF], proto TCP (6), length 48)
    187.115.x.117.2470 > 187.9.9.189.443: Flags [s], cksum 0x27ff (correct), seq 3152514864, win 65535, options [mss 1452,nop,nop,sackOK], length 0
16:54:59.413233 IP (tos 0x0, ttl 121, id 12343, offset 0, flags [DF], proto TCP (6), length 48)
    187.115.x.117.2470 > 172.16.2.156.443: Flags [s], cksum 0x3e19 (correct), seq 3152514864, win 65535, options [mss 1452,nop,nop,sackOK], length 0
16:55:05.549203 IP (tos 0x0, ttl 121, id 13562, offset 0, flags [DF], proto TCP (6), length 48)
    187.115.x.117.2470 > 187.9.9.189.443: Flags [s], cksum 0x27ff (correct), seq 3152514864, win 65535, options [mss 1452,nop,nop,sackOK], length 0
16:55:05.549215 IP (tos 0x0, ttl 121, id 13562, offset 0, flags [DF], proto TCP (6), length 48)
    187.115.x.117.2470 > 172.16.2.156.443: Flags [s], cksum 0x3e19 (correct), seq 3152514864, win 65535, options [mss 1452,nop,nop,sackOK], length 0

LAN: 

tcpdump -nv -i bge0 host 172.16.2.156
[code]tcpdump: listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes
16:52:45.025214 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.0.199 tell 172.16.2.156, length 46
16:52:48.450635 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.0.90 tell 172.16.2.156, length 46
16:52:48.452196 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.2.156 tell 172.16.0.90, length 46
16:52:51.338554 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.0.189 tell 172.16.2.156, length 46
16:53:03.493119 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.0.131 tell 172.16.2.156, length 46
16:54:10.466499 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.254.119 tell 172.16.2.156, length 46
16:54:59.478155 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.254.113 tell 172.16.2.156, length 46
16:55:06.469326 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.254.120 tell 172.16.2.156, length 46
16:55:36.302048 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.2.156 tell 172.16.0.31, length 46
16:55:48.446838 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.254.112 tell 172.16.2.156, length 46
16:55:57.445063 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.254.121 tell 172.16.2.156, length 46
16:56:42.445321 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.2.156 tell 172.16.0.32, length 46
16:57:44.618804 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.0.199 tell 172.16.2.156, length 46[/code]

A NAT está com o Default Gateway (WAN)

Uma informação importante:   Estou migrando de firewall, o firewall antigo tem o gw final 0.3 é que o gateway da rede. O pfsense está sem o gateway na LAN o ip dele é o 0.250\. 
[/s][/s][/s][/s][/s][/s]

marcelloc

@neo_X:

Uma informação importante: Estou migrando de firewall, o firewall antigo tem o gw final 0.3 é que o gateway da rede. O pfsense está sem o gateway na LAN o ip dele é o 0.250.

Sem o gateway, você tem que forçar o nat de saída também. Caso contrario o pacote chega até a maquina com o ip do cliente e com o ip do cliente não faz parte da rede, a maquina devolve para o default gateway.

O ip do servidor é 192.168.1.100?

Escute na lan com o ip do servidor de destino, não o ip da lan do firewall.

neo_X

Olá Marcelo..

Sem o gateway, você tem que forçar o nat de saída também. Caso contrario o pacote chega até a maquina com o ip do cliente e com o ip do cliente não faz parte da rede, a maquina devolve para o default gateway.
O ip do servidor é 192.168.1.100?
Escute na lan com o ip do servidor de destino, não o ip da lan do firewall.

O ip do servidor pfsense é 172.16.0.250

Rodei o tcpdump na LAN bge0 do pfsense (172.16.0.250) com o servidor de destino 187.115.x.117, mas não gerou nenhum log.

[2.0.3-RELEASE][root@fw.empresa.local]/root(6): tcpdump -nv -i bge0 host 187.115.x.117
tcpdump: listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes
0 packets captured
15768 packets received by filter
0 packets dropped by kernel

Você comentou sobre a Nat de saída, o pfsense faz isso NAT outbound?

marcelloc

Perguntei qual o ip do servidor que tem o serviço que você quer publicar na internet.

neo_X

Sim

172.16.2.156 porta 443 PRTG

marcelloc

@neo_X:

172.16.2.156 porta 443 PRTG

então rode tcpdump -ni bge0 host 172.16.2.156 and port 443

neo_X

[2.0.3-RELEASE][root@empresa]/root(9): tcpdump -ni bge0 host 172.16.2.156 and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes

0 packets captured
2657 packets received by filter
0 packets dropped by kernel

Mesmo o telnet na porta 443 não abre.

neo_X

Normal esse log?

marcelloc

@neo_X:

Normal esse log?

Arranca suas regras da aba floating, confere seu nat e marca a opção para criar uma regra de firewall automaticamente.

Se você não estiver com a algum outro serviço na 443, tem que funcionar.

neo_X

Marcelo,

Não funcionou, não sei mais o que eu faço. Tudo que configuro nesse firewall nada dá certo. A NAT não tem segredo e ela não funciona.

Obrigado pelo suporte.

marcelloc

@neo_X:

Não funcionou, não sei mais o que eu faço. Tudo que configuro nesse firewall nada dá certo. A NAT não tem segredo e ela não funciona.

Nos primeiros posts, alertamos para o nat criado de forma errada. Você já conferiu isso?

Tenho certeza que está faltando algum detalhe na sua configuração.