Pfsense bloqueando sites

ph_coutinho · Nov 12, 2020, 2:00 PM

Galera Tudo bem?

Estou tendo um problema com o Pfsense que esta bloqueando o seguinte site: https://www.explorerconsultoria.com/
Apresenta o erro Não é possível acessar este site , Verificar o Proxy e o Firewall
Alterei o link para http:// e também continua apresentando o mesmo erro!
O que eu fiz de teste! Conectei o computador direto no Modem, o site mencionado abriu a página normalmente!
Algém poderia dar uma luz do que pode estar havendo para bloquear este site?

mcury · Nov 12, 2020, 2:05 PM

Eu consegui acessar o site pelo pfsense.
Você está usando proxy?

ph_coutinho · Nov 12, 2020, 2:10 PM

@mcury bom dia!
Não estou usando proxy e não tenho nenhum pacote de proxy instalado! Tenho apenas o lightsquid_web /Lightsquid Web Server instalado e mesmo assim eu dei stop nele! mas o problema continua!

mcury · Nov 12, 2020, 2:12 PM

Quais pacotes você tem instalado no pfsense?

Você consegue pingar o site? Fiz um teste aqui e esse site aceita ICMP.

ping www.explorerconsultoria.com
PING td-balancer-some1-254-172.wixdns.net (35.247.254.172) 56(84) bytes of data.
64 bytes from 172.254.247.35.bc.googleusercontent.com (35.247.254.172): icmp_seq=1 ttl=108 time=18.0 ms
64 bytes from 172.254.247.35.bc.googleusercontent.com (35.247.254.172): icmp_seq=2 ttl=108 time=17.9 ms
^C
--- td-balancer-some1-254-172.wixdns.net ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 178ms
rtt min/avg/max/mdev = 17.891/17.965/18.040/0.153 ms

ph_coutinho · Nov 12, 2020, 2:18 PM

@mcury
Tenho os seguintes pacotes:
login-to-view

Estou pingando site pelo Pfsense:
login-to-view

mcury · Nov 12, 2020, 2:24 PM

Se você está pingando pelo pfsense, é pq o pfsense tem conectividade com o site.
Notei também que você pingou usando o nome do site, o que confirma que o DNS também está resolvendo corretamente o site em questão.

Os pacotes que você tem instalado não iriam interferir no acesso.. portanto, os pacotes do pfsense não estão bloqueando nada. Pode ser regras ou nat

Outros sites você acessa?

Mostre suas regras de firewall da interface onde o computador que não acessa está e regras de NAT.

ph_coutinho · Nov 12, 2020, 2:31 PM

@mcury
Blz havendo conectividade com o site!
Sim os pacotes não interferem no acesso!
Eu acesso outros sites!
Regras de Firewall onde o computador está:
login-to-view

NAT:
login-to-view

mcury · Nov 12, 2020, 2:38 PM

Estranho você estar bloqueando os sites com aliases.
Você sabe que hoje em dia, é bem complicado fazer dessa maneira, certo?
Os sites como facebook, instagram, linkedin e twitter por exemplo, têm centenas de servidores e isso está sempre mudando.

Já tentou criar uma regra de Firewall, colocando-a em primeiro na lista, permitindo o computador que não acessa o site a ir a qualquer lugar?

Ou pode mover temporariamente a regra "Default allow LAN to any rule", para a primeira posição, logo a baixo da regra de anti-lockout, para testar? Depois você põe ela de novo onde estava, é apenas para testar.

ph_coutinho · Nov 12, 2020, 2:47 PM

@mcury
Sei que é complicado fazer o bloqueio dessa maneira devido a mudança de servidores!

Não tentei criar uma regra em primeiro da lista, permitindo o computador que não acessa o site ir a qualquer lugar!

Movi a Regra "Default allow LAN to any rule", para a primeira posição, abaixo da regra anti-lockout , para testar, e o site da explorer abriu, e todos os sites que estavam bloqueados como facebook abriu também!

Agora o que vc me sugere para melhorar estes bloqueios sem afetar outros sites como a da Explorer consultoria?

mcury · Nov 12, 2020, 3:02 PM

Existem algumas maneiras de fazer esse bloqueio, no entanto, isso depende de cada ambiente.
Uma solução pode ser boa para um ambiente, e não funcionar bem em outro.

Por exemplo, caso você tenha celulares na rede, os celulares não funcionarão com o Squid, mesmo que ponha em modo transparente, várias coisas deixarão de funcionar.
Celulares também, poderão não funcionar com o bloqueio de DNS feito pelo pfblocker DNSBL devido ao DOH e DOT.

Nesse caso, recomendo que a rede de celulares tenha acesso livre a Internet, sem bloqueio, criando-se uma política na empresa, onde caso o usuário faça o acesso a sites restritos, será advertido.
+-+
Agora em outros casos, onde a rede é exclusiva para computadores, você teria a opção de fazer esse filtro pelo:

Squid (o que eu considero mais difícil e para usuários avançados, e não recomendo normalmente pois envolveria diversos outros problemas, bypass e etc).
DNS pfblocker DNSBL, que seria relativamente bem mais fácil.

ph_coutinho · Nov 12, 2020, 3:03 PM

@mcury
Obrigado pelas as informações! Descobrimos que o problema e referente as regras de bloqueio!
Eu já fiz pelo squid, porem tive muito problema!
Vou tentar fazer pelo DNS pfblocker DNSBL, se vai dar certo!

Uma pergunta, vc e da Instituição de cursos MCURY aqui do Rio de Janeiro?

mcury · Nov 12, 2020, 3:05 PM

This post is deleted!

ph_coutinho · Nov 12, 2020, 3:06 PM

@mcury kkkkkkkkk muita coincidência!
Cara valeu pela ajuda! Só tenho agradecer!!
Qualquer dúvida volto a postar aqui!
Muito obrigado!

mcury · Nov 12, 2020, 3:08 PM

@ph_coutinho De nada, posta aqui que se eu estiver online tento ajudar, caso eu não esteja, a comunidade ajuda..
Tem vários tutoriais de pfblocker dnsbl aqui pelo fórum, tenho certeza que vai encontrar um que te auxilie.

ph_coutinho · Nov 12, 2020, 3:09 PM

@mcury
Valeu meu amigo! Muito obrigado!