Mesmo com regra liberando o tráfego, o pfSense bloqueia [RESOLVIDO]
-
Pessoal, estou com problemas em um pfSense onde já fiz várias regras para desbloquear e mesmo assim o pf está bloqueando.
Cheguei até a clicar naquele sinal de + que tem na tela de log que diz "Easy Rule: Pass this traffic". A regra é criada, mas mesmo assim fica aparecendo no log o bloqueio, conforme a imagem em anexo.
Já olhei em todas as regras do firewall e não encontrei nada que pudesse estar bloqueando esse tráfego.
Alguém já passou por isso? Procurei aqui no forum e só encontrei alguma coisa falando a respeito no idioma Russo, aí não tive muito sucesso. :P
Valeu.
-
Essa print que tirei aparece a regra @3, que é de um bloqueio na interface WAN, mas a regra que está me atrapalhando, se não me engano, diz @4, que é na interface LAN.
Valeu.
-
Lí outros tópicos aqui no forum e percebi que essa regra é a regra geral do pfSense que dá um BLOCK em todos os pacotes. Entendi.
Agora, o que preciso entender é por que continua bloqueando se eu já criei uma regra pra liberar todo esse tipo de tráfego e inclusive já cliquei no + que adiciona direto a regra. Depois volto no log e continua bloqueando.
-
Coloque um print de suas regra que fica mais facil para o pessoal poder ajudar (lembre-se de omitir ips reais, se existirem).
-
Aqui estão os prints.
Fiz regra que libera todas as portas do ip em questão para o ip de destino, mas não adiantou.
Já tentei liberar especificamente a porta de origem 515, também sem sucesso.Em anexo as 2 telas.
![firewall - block 515.png](/public/imported_attachments/1/firewall - block 515.png)
![firewall - block 515.png_thumb](/public/imported_attachments/1/firewall - block 515.png_thumb)
![firewall - regras lan.png](/public/imported_attachments/1/firewall - regras lan.png)
![firewall - regras lan.png_thumb](/public/imported_attachments/1/firewall - regras lan.png_thumb) -
E segue o baile….
Vi no log que o sentido do bloqueio na interface LAN é OUT. Então experimentei criar a regra na interface WAN.
Agora meu log mostra um PASS na LAN, para esta regra mas vários BLOCKS na LAN (continua bloqueando). Mesmo eu fazendo esta regra na WAN.
No print está a regra que criei na WAN e o log do firewall mostrando os PASS e os BLOCK.
![Log - firewall - pass block.png](/public/imported_attachments/1/Log - firewall - pass block.png)
![Log - firewall - pass block.png_thumb](/public/imported_attachments/1/Log - firewall - pass block.png_thumb)
![Regra Firewall WAN.png](/public/imported_attachments/1/Regra Firewall WAN.png)
![Regra Firewall WAN.png_thumb](/public/imported_attachments/1/Regra Firewall WAN.png_thumb) -
Editei o tópico pois o problema já não é mais 'onde fica a regra que bloqueia', já que é a regra padrão do pfSense. Mas sim, mesmo fazendo regras que liberam o tráfego, ele insiste em bloquear.
Alguém tem alguma sugestão do que pode estar acontecendo?
-
Cara, ao meu ver vc está invertendo a ordem do que entre e oque sai.
Se vc quer liberar o tráfego que sai do ip 192.168.1.32 e vai para o IP válido 172.23.97.22:515 seria o 192.168.1.32 o source e o 172.23.97.22.
Caso fosse um serviço dentro da sua rede que roda na porta 515 vc deveria fazer um Nat para esse IP 192.168.1.32 para porta 515, e no caso liberar só o IP válido externo 172.23.97.22 para acessar esse serviço, oque não permitiria mais ninguém com outro IP válido acessar seu serviço na porta 515.
Testa aí e nos dê retorno ;)
-
Boa tarde, pessoal.
Volto aqui ao tópico para deixar a contribuição com a ação que fiz que resolveu o problema.
Peço aos mais experientes que, se possível, possam explicar o que ocorreu e por que só com esta ação o problema foi resolvido.
Pois bem, quando abri o tópico, no momento de correria e com o cliente reclamando sem parar, não deu tempo de explicar exatamente o cenário do cliente. Talvez por isso que não houve praticamente nenhuma contribuição ao tópico.
Peguei este problema em um cliente que o firewall queimou, o HD pifou e não teve jeito de recuperar nada. Então tive que ir descobrindo o funcionamento da rede aos poucos.
No anexo 1, a topologia da rede:
O cliente recebe a Internet por um link e possui uma MPLS (ambos da Embratel) onde faz a conexão com a matriz e com os servidores do sistema gerencial da empresa, que fica em SP.O MPLS está acessível pela LAN, então adicionei um gateway secundário no pfSense, conforme a figura 2.
Depois disso eu adicionei todas as rotas que o sistema exigia, conforme a figura 3. Todas apontando pro gateway da MPLS.
Nas regras do firewall, tinha tentando de tudo quanto foi jeito, liberar o acesso da LAN, porta de origem 515 para um IP da MPLS. Fiz regra liberando todas as portas, todos os IPs, com saída e entrada, mas nada resolveu. Sempre aparecia no log do firewall que a conexão havia sido bloqueada.
Cheguei a pensar que fosse até um bug do pfSense. Instalei a versão 64 bits, mas deu o mesmo problema. Nos meus posts anteriores, mostro os prints dos logs e algumas regras que fiz tentando fazer este tráfego passar pelo pfSense. O estranho é que mesmo havendo regra, ele caía na regra default de sempre bloquear. Mesmo eu criando a regra clicando naquele botãozinho de + que tem pra adicionar a regra imediatamente (EasyRule). Nada. Figura 3.Bom, depois de dias tentando várias alternativas, ontem eu comecei a analisar os logs de outros pacotes que passavam pela rede, entravam nas condições da regra que eu criei e
justamente esse que era o que eu precisava que saísse, não saía. O que notei de diferente era a marcação das flags do protocolo TCP, que, nos pacotes que passavam era diferente das flags dos pacotes que não passavam.Então ontem eu criei uma regra onde disse que toda a net da LAN saía para qualquer destino, qualquer porta, (até aí, normal), porém, na parte avançada, marquei as flags do protocolo que apareciam no log e….......... FUNCIONOU. Figura 4 e 5
Então, ficou o aprendizado e também o alívio pelo apuro e correria que passei. E que também pode servir para alguém que passe por um problema assim ou parecido.
Valeu.
![rede internet mpls.png](/public/imported_attachments/1/rede internet mpls.png)
![rede internet mpls.png_thumb](/public/imported_attachments/1/rede internet mpls.png_thumb)
![pfsense - system gateways.png](/public/imported_attachments/1/pfsense - system gateways.png)
![pfsense - system gateways.png_thumb](/public/imported_attachments/1/pfsense - system gateways.png_thumb)
![pfsense - firewall rules.png](/public/imported_attachments/1/pfsense - firewall rules.png)
![pfsense - firewall rules.png_thumb](/public/imported_attachments/1/pfsense - firewall rules.png_thumb)
![pfsense - firewall rules - edit.png](/public/imported_attachments/1/pfsense - firewall rules - edit.png)
![pfsense - firewall rules - edit.png_thumb](/public/imported_attachments/1/pfsense - firewall rules - edit.png_thumb)
![pfsense - firewall log - FUNCIONANDO.png](/public/imported_attachments/1/pfsense - firewall log - FUNCIONANDO.png)
![pfsense - firewall log - FUNCIONANDO.png_thumb](/public/imported_attachments/1/pfsense - firewall log - FUNCIONANDO.png_thumb) -
cabuloso hein fio :o
-
cabuloso hein fio :o
Cabuloso ao extremo, eu diria!
Até agora não sei por que funcionou, mas está funcionando.
Ao meu ver, essa regra deve ter alterado as flags do protocolo. Só que eu selecionei as mesmas, tipo entrada e saída iguais. Não entendi.