pfsense não bloqueia acesso da LAN



  • Boa tarde pessoal,

    Começei a mexer com pfsense recentemente e estou com um problema aparentemente básico, porém já tem dois dias e não consigo resolver.

    Eu instalei o pfsense e tudo deu certo, configurei as interfaces LAN e WAN sem problemas. Testei minha LAN e esta navegando na internet conforme desejado.

    Por padrão o pfsense criou em LAN uma regra liberando toda a LAN Net para acessar a internet, removi essa regra para liberar apenas o que desejo. Ao remover essa regra percebi que a LAN continuava a navegar. Removi então todas as regras incluindo a anti-lockout (acessando o pfsense pela wan) e mesmo assim a LAN continua a navegar.

    Nos logs do firewall verifico que a navegação está sendo permitida por uma regra chamada "USER_RULE" que não existe em nenhuma de minhas duas interfaces em Firewall -> Regras.

    Já tentei colocar nas regras uma regra bloqueando toda a LAN net e nada bloqueia a navegação, a liberação parece estar sendo feita em um nivel acima das regras de firewall. Desse jeito a LAN funciona, porém não consigo configurar nenhum bloqueio para ela.

    Alguém já passou por isso ou sabe o que pode estar acontecendo ?

    Obrigado,



  • @hcoelhos Crie um Regra na LAN, bloqueando as Portas 80 e 443 .. Certamente vai bloquear sua navegação!!



  • Ola andrezaomac,

    Não funciona, é exatamente essa a questão, as regras de bloqueio não estão parando a navegação. Já tinha uma regra bloqueando tudo da LAN net para qualquer coisa, porém criei as regras como me falou para desencargo de conciência, mas o resultado foi o mesmo.

    Outra coisa que reparei, é que mesmo só com as regras de bloqueio criadas, sem nada liberado, eu continuo acessando o pfsense pela lan, nem isso deveria funcionar.

    Estou anexando uma imagem de como estão minhas regras para verificarem como o problema é maluco.

    interface ADMIN = LAN

    0_1533299879903_adb94a58-ac44-457f-83f6-e10f8ac8c257-image.png

    Interface OUTSIDERNP = WAN

    0_1533299937769_5a5a53bb-0b3d-40e6-9cd9-d2309d28a6b2-image.png

    Flutuante

    0_1533299951191_96b72289-4e81-46a3-9e21-4c365d5ea556-image.png

    Desse jeito que está, continuo navegando tranquilamente por qualquer porta ou site com meus hosts ligados na LAN, inclusive acessando o pfsense.



  • @hcoelhos Na aba LAN, coloque a Regra assim.

    Estado = blocked
    Protocolo = IPv4*
    Origem= *
    Porta= *
    Destino= *
    Porta= *
    Gateway= *



  • @hcoelhos Outro detalhe.
    Em SistemaAvançado>>Firewall & NAT
    Em Opções de Otimização do Firewall: qual está ?



  • Então, a regra estava assim antes, mas não funcionava. Coloquei dos dois jeitos agora, e os hosts continuam navegando, olha a imagem abaixo:

    0_1533300715048_74e59832-a1f4-468d-9fca-79ba6883be96-image.png



  • @hcoelhos Realmente estranho!!!!

    Vc viu que no ícone do "sininho" no canto superior, está informando 18 alertas!!! provavelmente tem coisa errada no seu pfSense!!!
    Verifica os alertas!!!

    Obs: Pode ser que eu esteja falando bobagem, mas acho que não deve renomear as interfaces WAN e LAN!!!! (não tenho certeza dessa informação), eu particularmente deixo Default!!!



  • Vou reinstalar o pfsense para verificar se o problema não acontece ( tomarei o cuidado de não renomear as interfaces).

    Quanto ao sininho, é algo que tinha notado que aparecem diversos erros desde a instalação.

    Qual versão estão utilizando ?



  • Só completando, eu não havia visto uma de suas perguntas sobre o NAT, ele está automático.



  • @hcoelhos Mas não é esse NAT que estou falando.

    Eu digo o que fica em Sistema >> Avançado >> aba Firewall & Nat >> Em Opções de Otimização do Firewall:



  • Ah sim, foi mal. Bom, lá está com as configurações default:

    0_1533302855846_5d019747-bd34-4aaa-bf19-f0ac0992ed95-image.png

    0_1533302882530_a8ff18a4-ead7-4e0f-8c24-93ce3f0c1e7e-image.png



  • @hcoelhos Esta igual o meu!!!! Provavelmente é algum erro interno no pfSense, pode ser que tenha influencia com a troca dos nomes da interface ou pode ser que não.!



  • Voce está usando a 2.4 ?



  • @hcoelhos 2.3.4



  • Reinstalei o pfsense na versão mais atual do site 2.4.3. Após a instalação apenas configurei as interfaces, removi todas as regras de lan e criei apenas o bloqueio geral. Porém o problema persiste, segue a imagem:

    0_1533307065309_2900a6d3-23d6-455d-a1c3-847e6e5fe4d6-image.png

    0_1533307087251_a5332f9c-e33f-4614-8321-91101d02c5f3-image.png

    0_1533307098927_7922ccf9-eda3-45a4-acfd-f030b8b5ab6c-image.png

    Minha máquina que está na lan do pfsense consegue navegar sem nenhum bloqueio, também abri abas anonimas para verificar se não é cache, além de estar postando aqui com essa máquina (ou seja, não é cache).

    Vou tentar reinstalar a versão 2.3.5 para verificar se não é algum bug dessa versão.

    Após os testes com a 2.3.5 eu posto os resultados.



  • Reinstalei utilizando o pfsense na versão 2.3.5 e funcionou corretamente, todos os bloqueios como devem ser.

    Dessa forma concluo que o problema deve ser algum bug na versão 2.4.3, inclusive os alertas (sininho) não aparecem nessa versão.

    Vou utilizar ela por parecer ser mais estável.

    obrigado @andrezaomac, grande abraço.



  • O primeiro ponto a investigar são os alertas vários alertas que estão aparecendo na parte superior do seu pfSense.

    Tenho vários pfSense 2.4.x e nenhum apresenta este comportamento que descreveu.

    Lembre-se que a netgate já anunciou o fim das atualizações para a 2.3.x, então pra não ficar com um firewall desatualizado, sugiro repetir o teste em um ambiente virtual por exemplo, até encontrar onde está o problema na sua configuração.



  • Ola @marcelloc,

    Então cara, na verdade esse é um ambiente de teste virtualizado, os alertas já estão presente logo após a instalação, sem fazer alterações. Pode ser algum problema com o vmware, não sei, mas a instalação limpa já começou com os problemas.