Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    O que mais fazer para diagnosticar isso ? | Bloqueio de site mesmo c Full Access

    Scheduled Pinned Locked Moved Portuguese
    12 Posts 6 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wwatanabe
      last edited by

      Olá OtsuAf, boa tarde.

      Primeiramente obrigado por ler um post tão grande e tentar ajudar.

      Já fiz o teste com todas ACLs (Shallalist) liberadas (allow) e todos os subdominios e domínios do Logmein, além do GOV.BR liberados em Whitelist. Não vai. Também, se fosse um bloqueio do Squid ou SquidGuard acredito que veria nos logs do Proxy Server | Realtime. Lá não mostra nada sendo bloqueado pelo SquidGuard e também não mostra nada sendo bloqueado diretamente pelo Squid (ex. TCP_DENIED/407 - autenticação, etc).

      Também, como falei, no segundo diagnóstico desabilito o proxy completamente, Squid e Squidguard, e deixo a regra de firewall para IPv4* Any to Any (libera tudo) e também não consigo acesso, nem no site do Sintegra SP nem nesse primeiro acesso ao Logmein client.

      Citei os dois casos porque acredito que estejam relacionados. O fato de não serem acessados simplesmente pelo fato de estarem passando pelo PFSense.

      Abs.

      Wellington

      1 Reply Last reply Reply Quote 0
      • F
        faustovianna
        last edited by

        Já tentou habilitar também o ipv6 das interfaces? Acho que ja li algo falando desse tipo de situação aqui no fórum também… Eu tenho um alias pro firewall dando liberação para alguns sites específicos quando tenho problema de acesso... Graças a Deus nunca tive um pepinão desses... Se eu pensar em algo melhor pra lhe ajudar entro em contato.
        Estamos juntos! Boa sorte!
        Marcelloc daqui a pouco resolve seu problema, o cara é fera!

        1 Reply Last reply Reply Quote 0
        • W
          wwatanabe
          last edited by

          Olá meu caro !

          Habilitei o IPv6 no Advanced. Testei e nada. Ainda acho muito estranho o fato de desabilitando Proxy, habilitando regra de Full Access na WAN e na LAN, não rola esse site da Sintegra SP, apenas o SP. Todos os outros abrem. Nada nos logs de bloqueio, nem de proxy, nem de firewall.

          Vamos aguardar por uma luz vinda do Marcelloc !!..rs..

          Abraços e obrigado.

          1 Reply Last reply Reply Quote 0
          • D
            denicio
            last edited by

            Amigo lendo seu post me lembrou uma situação que ocorreu comigo recentemente. Na empresa que prestou serviço implementei o PF na rede e estava usando a velox como conexão. Ai solicitaram o um link dedicado da OI para substituir a velox logo quando mudei "alguns sites" nao carregavam algumas funções, tipo a finalização de formulário de cadastro. Ai fui perceber que era o link dedicado da OI que estava "barrando" mudei para a velox e voltou a funcionar. Com relação a esse problema no link vou abrir um chamado com o analista da OI para ver qual o problema.
            Teste essa conexão fora do PF ou teste outra conexão no PF.
            O cenário é parecido com o seu só não tem AD.

            Espero que ajude.

            1 Reply Last reply Reply Quote 0
            • R
              reinaldo.feitosa
              last edited by

              Quais as configurações de DNS esta usando? se o proxy e nem o firewall estão bloqueando tudo indica que o dns não esta resolvendo os endereços.

              Tenta acessar o site, fazer login no logmein e enquando esta tentando no prompt de comando digite "netstat -n" sem as aspas e verificas se tem algum status "sync sent", ou seja tentando sincronismo.

              Escrevendo a resposta lembrei que como vc usa AD e neste caso ele que está resolvendo os endereços é o seu servidor 2003. em DNS do servidor 203, execute limpar arquivos de dados obsoletos, atualizar arquivos de dados do servidor e limpar cache.

              1 Reply Last reply Reply Quote 0
              • W
                wwatanabe
                last edited by

                Bom dia pessoal !

                @Denicio

                Obrigado pela ajuda Denicio. Contudo, já havia testado uma máquina que dá problema dentro do PFSense conectada diretamente no link da NET funciona sem problemas. Portanto não é bloqueio da NET.

                @ Reinaldo Feitosa

                Olá Reinaldo, obrigado pela ajuda. Contudo, a resolução DNS está ok. Fizemos o teste de resolução nome x ip em outra máquina, em outro local, e está respondendo para o IP correto. Coloquei a liberação .gov.br na ACL Whitelist do Squid para nem precisar de autenticação que é feita pelo squidguard. Não há bloqueios:

                08.09.2015 12:25:17 192.168.1.181 TCP_MISS/200 http://www.google-analytics.com/__utm.gif? pftest 173.194.118.98
                08.09.2015 12:25:17 192.168.1.181 TCP_MISS/000 http://pfeserv1.fazenda.sp.gov.br/sintegrapfe/consultaSintegraServlet - 201.55.62.216
                08.09.2015 12:25:16 192.168.1.181 TCP_MISS/200 http://www.google-analytics.com/__utm.gif? pftest 173.194.118.98
                08.09.2015 12:25:16 192.168.1.181 TCP_MISS/000 http://pfeserv1.fazenda.sp.gov.br/sintegrapfe/consultaSintegraServlet - 201.55.62.216

                Veja que a conexão com o Google, saiu normalmente de maneira autenticada, a do SINTEGRA sai sem problemas, sem autenticação. Nos logs no squidguard não tem nenhum apontamento para este IP e nos logs de firewall também não.

                Realmente não sei o que pode ser!!! Queria fugir de apenas reinstalar o PFSense sem ter um diagnóstico..

                Obrigado por enquanto.

                1 Reply Last reply Reply Quote 0
                • W
                  wwatanabe
                  last edited by

                  Alguém tem mais alguma Luz?

                  Marcelloc ??? Pode indicar um caminho ???

                  Só acontece com o bendito do sintegra SP.

                  Abs.

                  WW

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    Alguns sites dão problema mesmo quando acessados via proxy. O melhor e mais rápido a fazer nesse caso e passar esse site por fora do proxy.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • W
                      wwatanabe
                      last edited by

                      Oi Marcelloc !

                      O estranho é que esse site funcionava antes. Também tenho ele funcionando em outros clientes que possuem o PFSense. Também tem a questão que mesmo desabilitando o proxy completamente, deixando a firewall com tudo aberto, ainda assim não está funcionando.

                      Mais alguma ideia ?

                      Obrigado !

                      Abs.

                      Wellington

                      1 Reply Last reply Reply Quote 0
                      • G
                        guitarcleiton
                        last edited by

                        Proxy Squid
                        Configurar em Proxy server:

                        Proxy Server>cache Mgnt>do not cache

                        Inseri esses dominios

                        
caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.br
receita.fazenda.gov.br
ecac.receita.fazenda.gov.br
dataprev.gov.br
previdencia.gov.br
serpro.gov.br
negociacao.caixa.gov.br
cafe.dataprev.gov.br
granulito.mte.gov.br
portal.mte.gov.br
nfse.campinas.sp.gov.br
ccd.serpro.gov.br
ccd2.serpro.gov.br
repositorio.icpbrasil.gov.br

                        Em Proxy server>Acess Control>Whitelist

                        
caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.br
receita.fazenda.gov.br
ecac.receita.fazenda.gov.br
dataprev.gov.br
previdencia.gov.br
serpro.gov.br
negociacao.caixa.gov.br
cafe.dataprev.gov.br
granulito.mte.gov.br
portal.mte.gov.br
nfse.campinas.sp.gov.br
ccd.serpro.gov.br
ccd2.serpro.gov.br
repositorio.icpbrasil.gov.br

                        Agora crie um Aliases

                        Name: sites_gov (nome do aliases desua preferencia)
                        Type: Network(s)

                        
200.201.173.82/32
161.148.231.100/32
161.148.231.190/32
200.152.32.178/32
200.152.40.50/32
161.148.173.66/32
200.201.166.240/32
200.201.174.207/32
200.201.166.0/24
200.201.174.204/32
200.201.174.0/24
200.152.32.148/32
200.152.33.1/32   
177.43.84.9/32
200.198.22.138/32
200.201.173.0/24

                        Crie uma aliases para portas

                        Name: portas_gov
                        Tipo: Port(s)

                        
8017
2500
2631
3456
5017
5022
80
443

                        Agora em Firewall>Rules

                        Crie a seguinte regra antes da regra de bloqueio da porta 80 e 433 para liberar as portas para os endereços do sites.

                        Proto: TCP/UDP
                        Source: Lan Net
                        Port: any
                        Destination: sites_gov
                        port: portas_gov

                        Analista de Sistemas
                        Bacharel em Sistemas de Informação

                        https://cleiton.tech.blog/

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.