Porta 21 / 443 Bloqueio
-
@ismarcs Amigo, fiz DMZ apontando para o PfSense e fiz pelo forwarding também e nenhum vai :(
Boa, vou testar pelo Notebook, vai que o Windows Server deu pau em alguma coisa rs
-
Pessoal, boa tarde!
Fiz alguns testes inclusive com o provedor, trocaram meu roteador e nada.
Eu não prestei atenção porque não tenho a data correta mas penso até que pode ser algum BUG da ultima versão do PfSense, pois atualizei tem pouco tempo, só restou isso agora.
Fiz vários testes e inclusive fiz teste colocando um notebook com FileZilla Server e também não funcionou.
Sabem onde consigo baixar as versões antigas do PfSense?
Abraço!
-
Você sabe fazer captura de pacote para ver se o pacote está chegando na WAN do pfsense?
Pode dar um ssh pro pfsense, opção 8 e digitar:
(substitua igb1 pelo nome da interface WAN) e (substitua IP pelo IP da WAN)
tcpdump -ni igb1 tcp port 21 and dst IP
depois tente a 443
tcpdump -ni igb1 tcp port 443 and dst IPDepois de configurar a captura, teste a conexão na portas portas e vê se aparece algo lá na captura.
CTRL+C para sair da captura.
-
@mcury Não sei fazer meu amigo mas vou me informar aqui... Posso fazer isso pela web ou via comando?
Eu vi pelo Firewall Log e não tem bloqueio do Firewall das portas 21 e 443.
-
O exemplo que te passei é via comando, por ssh ou console.
Pela GUI é possível fazer, no entanto, o campo host address, não dá para especificar uma origem, ou destino, apenas host, e isso vai criar muito ruído na sua captura, pois você estará acessando o pfsense também pela porta 443.
Pela GUI, recomendo que você teste apenas a porta 21.EDIT: Caso você conheça o IP de origem que estará tentando acessar o seu pfsense na porta 21, pode colocar esse IP em Host Address
O resto você deixa tudo padrão, depois clique em start lá embaixo.
Faça o teste, depois clique em View Capture e veja se apareceu alguma coisa.Caso vá postar aqui, cuidado para não postar o seu endereço IP externo.
-
@mcury meu amigo, não apareceu a porta 21, só testei a 21 mesmo.
Quanto coloquei a em Port 21 não apareceu nada ai depois deixei em branco ai mostrou o relatório mas não veio nada sobre a porta 21. :(
Meu IP é público só para nível de conhecimento.
O pessoal do meu provedor dizem que está tudo liberado, até por meu IP ser público não tem nada bloqueando mas as vezes fico desconfiado mas se fosse o caso eles iriam querer me vender um plano de link dedicado e não está sendo este o caso. Muito estranho, acredito que eles estão dando melhor deles mas enfim.
-
Se durante a captura, você fez o teste e nada apareceu, é porque o pacote não está chegando na interface do pfsense.
Fiz aqui e deveria ter aparecido isso
Note que meu pfsense não está respondendo, mas vejo o pacote chegando.
Usei esse site para testar: https://www.yougetsignal.com/tools/open-ports/
-
@mcury Putz, não apareceu mesmo.
Caramba...
-
Testa outra porta
Coloca a captura na port 5000
E faz o teste lá usando a porta 5000, confirma se vai aparecer algo..Se aparecer, o problema parece ser exclusivo da porta 21, o que indica que o problema está no modem ou no provedor de Internet que não está te encaminhando essa porta.
E provavelmente está acontecendo o mesmo com a porta 443.
-
Aparentemente aqui está tudo certo...
-
Foi, registrou sim
14:41:33.615761 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0
14:41:34.622904 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0
14:41:36.635542 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0 -
Você está abrindo a gerência do pfsense para a Internet por NAT?
Essas 5 regras, eu sugiro que configure uma VPN no pfsense e exclua essas regras, não é seguro.
-
@renanlofiego Então seu provedor está filtrando a porta 21, quanto a 443 eu não sei, teria que testar.
Mas muitos provedores fazem isso, bloqueiam as portas TCP 21,80 e 443.. Acham que estão ajudando.. -
@mcury Entendi, sim estou fazendo sim :D
-
@renanlofiego Não faça..
E não é assim que se faz, caso realmente queria prosseguir dessa forma, é sua responsabilidade, saiba que foi sugerido que não faça isso, ok?Mas não precisa de NAT para isso, pois o destino será o próprio pfsense.
Delete essa regra de NAT da porta 443.
Crie uma regra de Firewall na WAN, permitindo o acesso a TCP a porta 443 com destino WAN_ADDRESS -
@mcury said in Porta 21 / 443 Bloqueio:
@renanlofiego Não faça..
E não é assim que se faz, caso realmente queria prosseguir dessa forma, é sua responsabilidade, saiba que foi sugerido que não faça isso, ok?Mas não precisa de NAT para isso, pois o destino será o próprio pfsense.
Delete essa regra de NAT da porta 443.
Crie uma regra de Firewall na WAN, permitindo o acesso a TCP a porta 443 com destino WAN_ADDRESSEntão, dessa forma consigo acessar também de fora né?!
Vou seguir suas dicas.
A proposito, muito obrigado pela atenção. Obrigado mesmo por tentar ajudar, vou tentar falar com eles de novo lá.
-
@renanlofiego said in Porta 21 / 443 Bloqueio:
Então, dessa forma consigo acessar também de fora né?!
Sem NAT, apenas com a regra de firewall, consegue.
O NAT não adianta nada nessa situação.
O NAT serve para encaminhar pacote para endereços nas suas redes internas, quando o destino é o próprio firewall não precisa de NAT.Recomendo configurar uma VPN (pode ser uma openvpn mesmo) no pfsense, e depois de conectado na VPN, acessar o pfsense na porta 443, acessar os serviços que quiser na porta 21 e etc..
Dessa forma você pode apagar os NATs nas portas 20,21,443,3389,3390.. isso aí de um ponto de vista de segurança não está bom não. -
@mcury Entendi, mas é que recebo banco de dados de vários sistemas que administro por isso a porta 21 é bem importante para min, a 443 nem tanto mas me adiantava em algumas coisas.
Eu tenho VPN pelo Windows Server.
-
Olha quanta gente tentou conectar na minha porta 3389 só hoje.. E nem tenho essa porta aberta..
Tem logs na porta 21, 443..
Se você recebe banco de dados, é de outra empresa? Faz um ipsec site to site com essa outra empresa.
Caso não tenha essa possibilidade, verifique se essa empresa tem um IP FIXO, e adicione ele lá no NAT, em source.. E tente usar apenas protocolos criptografados..
Dessa forma, apenas a origem poderá se conectar, e passwords não serão enviados em clear text.
Mas melhor forma mesmo é a VPN. -
@mcury Legal, valeu pelas dicas. Vou analisar isso, também recebo várias tentativa de acesso a um monte de portas aqui rs
Vou analisar essas dicas e mais uma vez obrigado pelas dicas!
