Substituindo Fw linux por Pfsense
-
Olhando os logs agora do firewall….vi que tem muito pacote entre o ip 192.168.10.1 e o 192.168.10.2 na dmz ( ip do firewall e ip do roteador wifi respectivamente) bloqueando e quando vou ver detalhes ele da como err:
The rule that triggered this actions is
@ 3 scrub on re1 all fragment reassemble
@ 3 block drop in log inet all label "Defaul deny IPV4' -
Quando pingo um dominio externo, por ex gmail….ele resolva o ip, mas pro ping da esgotado o tempo limite do pedido. Ja se pingo o ip do dns do google por ex, 8.8.8.8, nao responde.
Tcpdump na wan e na lan. Se o pacote estiver saindo, não é problema com seu firewall.
@ 3 scrub on re1 all fragment reassemble
@ 3 block drop in log inet all label "Defaul deny IPV4'Pacotes fragmentados e pacotes que cairam no bloqueio padrão.
-
Rodei o tcpdum na interface lan e dmz
na lan com a interface lan, host 192.168.1.100 and host 192.168.10.2
192.168.1.100 _ minha maquina de teste e 0 10.2 o roteador wifi
Aqui nao aparece nada quando dou o pinga da maquina pro roteadore na dmz o tcpdum na placa da dmz e o host 192.168.10.2
Aqui aparece os pacotes icmp somente da maquina teste par ao 192.168.10.2È como se achassem o destino, mas nao o caminho de volta no icmp
Mas se digito 192.168.10.2 no navegador, abre normalmente ( na maquina de teste), so que parece que nao carrega todos os graficos da interface do roteadorwifi
Agora se conecto no roteador wifi, com um ip 192.168.10.3, consigo pingar a interface do firewall 192.168.10.1, onde ele esta conectado mas para "dentro" , inclusive a rede 192.168.1.x, da como Host de destno inacessivel.
-
Revisei todas configuracoes com o do firewallq ue ta rodando e tudo bate….
Unica coisa que me chamou atenção é que nesse pfsense que estou terminando de configurar ( 64 bits que ta rodando numa vm do zemserver) agora quando dei reboot e fiquei observando a tela de console notei essa msg:
Configuring firewall.route: writing to routing socket: No such process ... done
Mas termina de carregar o boot normalmenteNota:
Fiz um teste agora , revertendo para um snapshot antes de fazer a sincronização das regras de firewall...e esta pingando normalmente tanto nomes quanto ips para fora .....
O problema acho que esta sendo na hora que faço a sincronização das regras do firewall em produção com este que estou configurando....
Por algum motivo acho que esta dando problema com a tabela de roteamento..... -
Nota:
Fiz um teste agora , revertendo para um snapshot antes de fazer a sincronização das regras de firewall…e esta pingando normalmente tanto nomes quanto ips para fora .....
O problema acho que esta sendo na hora que faço a sincronização das regras do firewall em produção com este que estou configurando....
Por algum motivo acho que esta dando problema com a tabela de roteamento.....Aos poucos as coisas vão se esclarecendo…. :)
Nao sei bem se o problema esta sendo com a sincronização das regras, ou quando mudei a ordem as interfaces. Em system assign...esclui e criei de novo na mesma ordem do firewall de origem, mas isso depois de ter sincronizado. VOu fazer 2 testes agora:
mudar a ordem das interfaces, verificar se esta ok, e depois fazer a sincronizacao e ver ..... dae fica mais facil de isolar caso ocorra problema novamente -
Quando usamos o carp, é essencial apontar o gateway das estações e roteadores para o ip virtual e conferir as regras de nat de modo que o pacote saia e volte com o mesmo ip.
-
Quando usamos o carp, é essencial apontar o gateway das estações e roteadores para o ip virtual e conferir as regras de nat de modo que o pacote saia e volte com o mesmo ip.
Ola marcello, vi que o problema ocorreu quando fiz a mudança das interfaces ( exclui, adicionei e mudei a placa atribuida a cada interface). Pois tinha feito isso depois que sincronizei as regras.
Fiz um teste, reverti para um snapshot antes da sincronização, mudei a ordem das interfaces e nomes primeiros, reiniciei, depois sincronizei as regras.
Parece que resolveu….
Estou pingando para "fora" em todas interfaces, o erro Configuring firewall.route: writing to routing socket: No such process ... done nao pareceu mais no boot.
Regras de nat tenho somente para alguns acessos externos no link1, e da porta 25 na dmz.
Nao uso ips virtuais, somente 2 no link 1 que fazem parte do range de ips reais do link
Essa maquina que estou terminando a configuração, é 64 bits com 5 placas de rede
Link1- Usado para -emails e dns
Link2- Usada para navegacao, é o default gateway
LAN - Rede interna
DMZ- Dmz com os servidores de e-mail
WIFI - Conectada a um roteador wifi sem nenhuma regra especificaA máquina que esta rodando atualmente, de onde fiz a sincronização, é uma 32 Bits com 4 interfaces ( todas acima, menos a wifi).
Vou fazer mais alguns testes agora para ver se realmente esta ok.
-
Bom…ta quase tudo ok..... so que agora se marco o proxy navega ok, se nao marco...nao abre nada na internet...parece que sem o proxy ele nao acha o gateway padrao,, que é o link2, mesmo la em routing - gateways definindo ele como gateway deaault..... e nas conexoes do windows aparece como sem conexao com a intrnet, mesmo com o proxy marcado e navegando.
obs esses que nao navegam tem regra na lan liberando todo acesso.... -
Hora de usar o tcpdump mais uma vez.
-
Hora de usar o tcpdump mais uma vez.
Rodei..foi a 1a coisa que fiz
agora achei o erro…..coisa mais basica impossivel
Depois que configurei todas as interfaces,gateways, etc..... tudo certinho.....
Mudei o nome do gateway desse link 2, e dae la em interfaces ele estava sem gateway definido.....
Podia ter começado a semana sem essa.... :-[ -
Acontece… :)
