Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Acesso ao servidor Apache pelo dominio externo redireciona para pfSense/squid

    Scheduled Pinned Locked Moved Portuguese
    9 Posts 3 Posters 1.5k Views 3 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K Offline
      KelvinSS
      last edited by

      Boa tarde.

      Estou com um problema no meu pfSense e preciso de ajudar rs
      Tenho o seguinte cenário.
      1 Servidor com pfSense
      1 Servidor WEB com Apache

      Os computadores da rede LAN do pfSense não conseguem acessar um site do servidor via domínio externo (aplicacaoweb.empresa.com.br) e nem pelo IP interno (http://192.168.175.48/aplicacaoweb).
      E sempre que tentam acessar pelo domínio estando na rede LAN o pfsense redireciona para a porta da WebGUI do pfSense e informa a mensagem de erro DNS Rebind attack detected e quando acesso pelo IP retorna a mensagem 403 do squid informando que não encontrou.

      E o mais bizarro é que quem está fora da rede, via 4G consegue acessar pelo domínio sem problemas, e até o pessoal que está pela VPN acessa pelo IP local do servidor WEB, só quem está na LAN não consegue acessar.

      Realizei algumas configurações antes, que foram de adicionar o dominio no hostname para nao aparecer a mensagem do DNS Rebind check, mas o resultado disso foi que ele abre a tela de login do pfsense.

      Também tentei criar um host override no DNS Forwarder, porém não obtive sucesso.

      Desde já agradeço a ajuda!

      1 Reply Last reply Reply Quote 0
      • M Away
        mcury Rebel Alliance
        last edited by

        Está usando proxy transparente, certo?
        Tem uma opção lá no squid para fazer bypass para endereços que você escolher, ponha o 192.168.175.48 lá e teste

        dead on arrival, nowhere to be found.

        1 Reply Last reply Reply Quote 0
        • K Offline
          KelvinSS
          last edited by

          Esqueci de mencionar, mas não é o proxy transparente, é o proxy que necessita ser adicionado nas máquinas via WPAD

          1 Reply Last reply Reply Quote 0
          • M Away
            mcury Rebel Alliance
            last edited by

            Tenta alterar seu PAC file, para enviar tudo que for para internal networks, para enviar direto ao invés de passar pelo proxy.

            // If the requested website is hosted within the internal network, send direct.
            if (isPlainHostName(host) ||
            shExpMatch(host, "*.local") ||
            isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") ||
            isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0") ||
            isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") ||
            isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0"))
            return "DIRECT";

            dead on arrival, nowhere to be found.

            K 1 Reply Last reply Reply Quote 0
            • acamouraA Offline
              acamoura
              last edited by

              Olá @KelvinSS,

              Vá em System -> Advanced -> Firewall & NAT

              Clique em Network Address Translation

              Habilite os seguintes parâmetros abaixo:

              • list itemNAT Reflection mode for port forwards -> Selecione NAT + Proxy

              • list itemEnable NAT Reflection for 1:1 NAT -> Marque Automatic creation of additional NAT redirect rules from within the internal networks

              • list itemEnable automatic outbound NAT for Reflection -> Marque Automatic create outbound NAT rules that direct traffic back out to the same subnet it originated from

              Após essas parametrizações salve as novas configurações e na sequencia realize os novos testes de comunicação junto a Aplicação Web.

              Este procedimento deve resolver os acessos dentro da sua LAN com sucesso pelo domínio externo.

              Atenciosamente.

              César Moura

              M 1 Reply Last reply Reply Quote 1
              • M Away
                mcury Rebel Alliance @acamoura
                last edited by

                @acamoura Olá Acamoura, NAT reflection pode ser considerado uma "gambiarrazinha", não é a melhor maneira de se acessar um site interno.

                https://docs.netgate.com/pfsense/en/latest/nat/reflection.html

                Recomendo acessar diretamente, e caso queira fazer um acesso pelo nome, que se use split DNS.

                dead on arrival, nowhere to be found.

                1 Reply Last reply Reply Quote 0
                • K Offline
                  KelvinSS @mcury
                  last edited by

                  @mcury said in Acesso ao servidor Apache pelo dominio externo redireciona para pfSense/squid:

                  isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") ||

                  neste trecho isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") eu preciso mudar o IP para o correspondente a minha rede interna (192.168.145.0) ou ele já está dentro?

                  1 Reply Last reply Reply Quote 0
                  • M Away
                    mcury Rebel Alliance
                    last edited by

                    Já está dentro.

                    dead on arrival, nowhere to be found.

                    1 Reply Last reply Reply Quote 0
                    • K Offline
                      KelvinSS
                      last edited by KelvinSS

                      Bom dia a todos.

                      Consegui fazer funcionar aqui ajustando o PAC File conforme o @mcury mencionou e isso solucionou o problema de acessar o site internamente usando o IP local.

                      Já para o problema LAN acessar o site usando o domínio externo (aplicacaoweb.empresa.com.br) eu resolvi com split DNS mencionado também, nele eu fiz o seguinte:

                      Fui em em Services > DNS Forwarder e marquei as opções:
                      • Enable
                      • DHCP Registration
                      • Static DHCP

                      E criei na opção de Host Override Options os domínios que usamos aqui para o DNS interno resolver e redirecionar para o IP Local do servidor WEB.
                      • Host – será o subdomínio (aplicacaoweb)
                      • Domain – será o domínio (empresa.com.br)
                      • IP Address – será o IP Local do servidor WEB

                      Também tiver que mudar em Services > DHCP Server o DNS Server primário que antes era o do meu AD para o do pfSense.

                      Feito isso consegui resolver o problema de acessar o servidor WEB pelo domínio externo!

                      Obrigado a todos pela ajuda!

                      1 Reply Last reply Reply Quote 1
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.