Regra oculta no pfsense
-
Boa tarde a todos, instalei um pfsense com as regras padrões, não criei nenhum bloqueio até então, porém meu servidor de impressão não se conecta ao servidor de impressão devido uma regra de bloqueio no pfsense que não fui eu quem criei.
No prompt do pfsense executei o comando pfctl -s rules e obtive as regras do arquivo de texto. A regra problemática é a que está cheia de "------------------" na frente.
Gostaria de uma ajuda para identificar onde está essa regra e exclui-la.regrasfirewall.txt
-
Qual é o endereçamento da LAN? 172.16.251.0 ?
Se for, por que o retorno de pacotes vindo da rede 192.168.12.0 também está passando pela LAN? -
@mcury Não entendi oque você quis dizer com o endereçamento da Lan 172.16.251.0.
Veja se fica mais claro -> traceroute 192.168.13.156 (este é o servidor de aplicação que fica na prefeitura, eu estou no hospital, as redes do hospital e da prefeitura são interligadas por fibra do provedor de internet que é o mesmo.)
1 pfSense.fhomuv.net (192.168.1.9) (meu gateway ele tem o ip 192.168.12.9 também)
2 192.168.12.1 (192.168.12.1) (Equipamento de fibra do provedor de internet)
3 172.16.254.1 (172.16.254.1) (Equipamento do provedor)
4 172.16.21.253 (172.16.21.253) (Equipamento do provedor)
5 vector156.fhomuv.net (192.168.13.156) (Servidor de aplicação)Observação: Eu acesso o servidor de aplicação por remote desktop. O servidor precisa acessar meu printserver (192.168.12.9), eles se pingam mas quando vou adicionar uma impressora ou mandar uma impressão simplesmente trava tudo por causa dessa regra. Ela trava a comunicação que sai do printserver 192.168.12.9 na porta 631 e deveria ir para o servidor 192.168.13.156.
-
@tifhomuv said in Regra oculta no pfsense:
O servidor precisa acessar meu printserver (192.168.12.9), eles se pingam mas quando vou
Infelizmente não deu para entender a sua explicação
Pelo que eu entendi até agora:
Cliente acessando o servidor de impressão chega com o IP: 172.16.254.1
Servidor de impressão: 192.168.12.10Simplificando, seria isso?
Nesse caso, você enxerga bloqueio de TCP:SA (retorno de pacote que no seu caso acredito estar associado a assimetria), de uma regra que diz que o pacote não está vindo da rede atrás da interface xn0.
-
@mcury Na verdade o cenário seria esse da figura:
O servidor de aplicação tem uma impressora instalada que está no servidor de impressão. Quando tento mandar imprimir o servidor de aplicação trava porque não recebe resposta.
Quando vou olhar no firewall o log mostra o bloqueio da rede 192.168.12.0 conforme inicio do post.
Pelo que entendi o servidor de aplicação alcança o de impressão, mas na volta o de impressão não consegue retornar para o de aplicação por causa dessa regra que não fui eu quem criei. -
Lá na interface WAN que conecta ao modem 192.168.12.1, confirma se isso está habilitado, se estiver desabilite e tente novamente:
-
@mcury Está desabilitado. Um amigo já tinha dado esta dica por já estar atraz do firewall do provedor. O PFSense estou usando mais é para gerenciamento da rede local, dhcp, dns, proxy entre outros serviços de rede.
-
Tem um NAT no modem da ISP, então o pacote vindo da origem chega como 172.16.254.1.
O pacote chega no servidor de impressão, e tenta retornar, onde o pfsense bloqueia..
Pode confirmar se o gateway configurado no servidor de impressão está correto?
Deveria ser 192.168.12.9 o gateway, me parece que você configurou 192.168.12.10? -
Lá nos logs do pfsense, você enxerga o TCP:S ou apenas o TCP:SYN ACK com bloqueio?
Confirma se a regra que permite o acesso está com a opção de logar as solicitações, ai tenta de novo e confirma se o primeiro pacote da conexão, que é um TCP:S está sendo permitido pelo firewall..Nos seus logs só dá para ver o TCP:SYN ACK sendo bloqueado
-
@mcury Na verdade eu filtrando o log do printserver é esse o resultado:
E não há regra de bloqueio nem de liberação, estou com as regras padrões do PFSense, lembrando que eu acesso o servidor de aplicação, uso o sistema normalmente via remote desktop.
Mas segue o print das regras.
Lan:
Wan:
-
Se você não enxerga o SYN, é porque você está com algum tipo de assimetria na sua rede.
O three way handshake do TCP funciona da seguinte forma:
1- SYN
2 - SYN ACK
3 - ACKSe o pfsense não enxerga o primeiro pacote SYN, ele vai bloquear o resto dos pacotes que tentarem passar.
Por isso acredito que você tenha algum tipo de assimetria na sua rede, onde o pfsense não recebe o SYN, e quando chega a resposta do servidor de impressão SYN ACK, ele bloqueia.
-
@mcury Tem alguma sugestão do que devo fazer?
-
Garanta que o pacote está fazendo o mesmo caminho, na ida e na volta.
cliente -> Gateway A ---Provedora--- Gateway B -> servidor
servidor -> Gateway B --- Provedora --- Gateway A -> clienteSe o pacote está chegando por um gateway e o servidor devolvendo por outro, o problema acontece..
As vezes o servidor tem mais de uma placa de rede, e se ele não tiver uma rota específica para devolver por uma placa de rede, ele pode devolver pela rota default, que pode não ser a placa de rede por onde o pacote chegou, causando a assimetria.
Você pode fazer uma captura de pacotes para ajudar a identificar o problema.