PfSense não libera porta em modo Stealth?
-
Olá pessoal,
Sou um novo usuário aqui do forúm, e no mundo linux.
Depois de apanhar muito no debian com iptables sem ter o resultado final desejado, por indicação, passei a testar o pfSense.Aparentemente tudo funciona perfeitamente no modo padrão.
Porém, quando criei a regra (Firewall / Rules)Action: Pass
Interface: WAN
Protocol: TCP
Source: any
Destination: xxx.xxx.xxx.xxx (IP local do meu apache)
Destination Port Range: from http to httpEu obtive com sucesso o redirecionamento para meu apache.
Ao verificar o estado do firewall no site do Shields UP:https://www.grc.com/x/ne.dll?bh0bkyd2
Ele aponta que minha porta 80 está aberta…
No debian eu usava SNAT e ativava esses parâmetros:
tcp_syncookies = 1
icmp_echo_ignore_all = 1
icmp_echo_ignore_broadcasts = 1
icmp_ignore_bogus_error_responses = 1
accept_redirects = 0
accept_source_route = 0
arp_filter = 1
log_martians = 1
rp_filter = 1E fazia o redirecionamento para meu apache assim:
iptables -t nat PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:80 (IP local do meu servidor Apache)
Dessa maneira meu gateway nunca respondia a nenhum ping da internet, e a porta 80 (assim como as demais portas) sempre passava nos testes online como em stealth, porém, servindo devidamente os sites / serviços (email / dns /etc...) que eu uso.
Há alguma maneira de reproduzir esse mesmo resultado no pfsense?
-
O Shields Up está mostrando exatamente o que você fez: liberou a porta 80 na WAN.
Antes, quando você estava usando o Debian, você tinha feito NAT e isto é o que você deve fazer agora também, no pfSense. -
O Shields Up está mostrando exatamente o que você fez: liberou a porta 80 na WAN.
Antes, quando você estava usando o Debian, você tinha feito NAT e isto é o que você deve fazer agora também, no pfSense.Quando criei a regra no pfsense ele automaticamente criou o NAT com o status:
linked rule
Você estaria dizendo para eu remover a Rule que fiz e manter apenas o NAT seria isso?
-
Você criou a regra primeiro na WAN ou criou o NAT e selecionou Filter rule association?
-
Eu fiz como havia comentado:
Aparentemente tudo funciona perfeitamente no modo padrão.
Porém, quando criei a regra (Firewall / Rules)Action: Pass
Interface: WAN
Protocol: TCP
Source: any
Destination: xxx.xxx.xxx.xxx (IP local do meu apache)
Destination Port Range: from http to httpCliquei em Firewall
Cliquei em Rules
E preenchi os dados que informei, de resto não mudei mais nada.
Ele automaticamente criou o NAT.Uma adição de detalhe aos passos que mencionei seria esse:
Destination: Single host or alias xxx.xxx.xxx.xxx (IP local do servidor debian executando o apache)
-
Normalmente, eu faço o contrário:
1- Crio o NAT Port forward e seleciono Filter rule association, ultima opção da página Firewall: NAT: Port Forward: Edit.
2- Verifico a regra (rule) associada na WAN.
Segue cópia das telas do NAT: Port Forward e Firewall: Rules na WAN.
-
Sou um novo usuário aqui do forúm, e no mundo linux.
Sem querer ser chato, mas já sendo, o pfSense não tem relação (parentesco) com o Linux. Aqui, estamos no mundo BSD (mais precisamente, o FreeBSD)!
;)
Abraços!
Jack -
Calma JackL kkk
Acho que o que ele quis dizer que está se aventurando agora por águas livres e internacionais rsrs
Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.
-
Calma JackL kkk
Estou 100% calmo LFCavalcanti…
Na verdade não quis ser ríspido, se passei esta impressão, não era a intenção. Só quis contextualizar e enquadrar os conceitos! ;)
Como diz o marcelloc, as vezes precisamos usar os smiles pra deixar claro que não estamos "passando um pito", apenas fazendo um comentário tranquilo… Então aí vai:
- :D :) ;)
Abraços!
Jack -
JackL,
Mestre Jedi… eu já te conheço, sei que você estava brincando... mas vai que o rapaz não leva por esse lado... ::)
-
mas vai que o rapaz não leva por esse lado… ::)
Ta certo…
Espero e imagino que ele não tenha levado para o "lado errado"! :)
Abraços!
Jack -
Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.
Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.
-
Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.
Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.
Essa opção já é ativada por padrão. ;D
-
Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.
Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.
Essa opção já é ativada por padrão. ;D
Verdade, mas vai que rolem a caixinha de menu, sem querer… ;D