Porta 21 / 443 Bloqueio
-
Aparentemente aqui está tudo certo...
-
Foi, registrou sim
14:41:33.615761 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0
14:41:34.622904 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0
14:41:36.635542 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0 -
Você está abrindo a gerência do pfsense para a Internet por NAT?
Essas 5 regras, eu sugiro que configure uma VPN no pfsense e exclua essas regras, não é seguro.
-
@renanlofiego Então seu provedor está filtrando a porta 21, quanto a 443 eu não sei, teria que testar.
Mas muitos provedores fazem isso, bloqueiam as portas TCP 21,80 e 443.. Acham que estão ajudando.. -
@mcury Entendi, sim estou fazendo sim :D
-
@renanlofiego Não faça..
E não é assim que se faz, caso realmente queria prosseguir dessa forma, é sua responsabilidade, saiba que foi sugerido que não faça isso, ok?Mas não precisa de NAT para isso, pois o destino será o próprio pfsense.
Delete essa regra de NAT da porta 443.
Crie uma regra de Firewall na WAN, permitindo o acesso a TCP a porta 443 com destino WAN_ADDRESS -
@mcury said in Porta 21 / 443 Bloqueio:
@renanlofiego Não faça..
E não é assim que se faz, caso realmente queria prosseguir dessa forma, é sua responsabilidade, saiba que foi sugerido que não faça isso, ok?Mas não precisa de NAT para isso, pois o destino será o próprio pfsense.
Delete essa regra de NAT da porta 443.
Crie uma regra de Firewall na WAN, permitindo o acesso a TCP a porta 443 com destino WAN_ADDRESSEntão, dessa forma consigo acessar também de fora né?!
Vou seguir suas dicas.
A proposito, muito obrigado pela atenção. Obrigado mesmo por tentar ajudar, vou tentar falar com eles de novo lá.
-
@renanlofiego said in Porta 21 / 443 Bloqueio:
Então, dessa forma consigo acessar também de fora né?!
Sem NAT, apenas com a regra de firewall, consegue.
O NAT não adianta nada nessa situação.
O NAT serve para encaminhar pacote para endereços nas suas redes internas, quando o destino é o próprio firewall não precisa de NAT.Recomendo configurar uma VPN (pode ser uma openvpn mesmo) no pfsense, e depois de conectado na VPN, acessar o pfsense na porta 443, acessar os serviços que quiser na porta 21 e etc..
Dessa forma você pode apagar os NATs nas portas 20,21,443,3389,3390.. isso aí de um ponto de vista de segurança não está bom não. -
@mcury Entendi, mas é que recebo banco de dados de vários sistemas que administro por isso a porta 21 é bem importante para min, a 443 nem tanto mas me adiantava em algumas coisas.
Eu tenho VPN pelo Windows Server.
-
Olha quanta gente tentou conectar na minha porta 3389 só hoje.. E nem tenho essa porta aberta..
Tem logs na porta 21, 443..
Se você recebe banco de dados, é de outra empresa? Faz um ipsec site to site com essa outra empresa.
Caso não tenha essa possibilidade, verifique se essa empresa tem um IP FIXO, e adicione ele lá no NAT, em source.. E tente usar apenas protocolos criptografados..
Dessa forma, apenas a origem poderá se conectar, e passwords não serão enviados em clear text.
Mas melhor forma mesmo é a VPN. -
@mcury Legal, valeu pelas dicas. Vou analisar isso, também recebo várias tentativa de acesso a um monte de portas aqui rs
Vou analisar essas dicas e mais uma vez obrigado pelas dicas!
-
@renanlofiego vc testando com o note direto no modem do provedor, e as portas nao deram abertas, testa uma porta alta tipo 35999, se de ok, realmente seu provedor ti bloqueando, como foi falado ai encima.
-
@ismarcs Então testei sim irmão, inclusive com notebook direto no roteador com DMZ e não foi.
Se eu trocar as portas funcionam.
Estou pensando também em testar a versão anterior do PfSense.
-
@renanlofiego Dessa forma nao é o PFSENSE, cola no provedor ai, com o notebook ligado direto ja prova que não é problema interno seu.
Boa sorte ai!
