pfsense não bloqueia acesso da LAN
-
Boa tarde pessoal,
Começei a mexer com pfsense recentemente e estou com um problema aparentemente básico, porém já tem dois dias e não consigo resolver.
Eu instalei o pfsense e tudo deu certo, configurei as interfaces LAN e WAN sem problemas. Testei minha LAN e esta navegando na internet conforme desejado.
Por padrão o pfsense criou em LAN uma regra liberando toda a LAN Net para acessar a internet, removi essa regra para liberar apenas o que desejo. Ao remover essa regra percebi que a LAN continuava a navegar. Removi então todas as regras incluindo a anti-lockout (acessando o pfsense pela wan) e mesmo assim a LAN continua a navegar.
Nos logs do firewall verifico que a navegação está sendo permitida por uma regra chamada "USER_RULE" que não existe em nenhuma de minhas duas interfaces em Firewall -> Regras.
Já tentei colocar nas regras uma regra bloqueando toda a LAN net e nada bloqueia a navegação, a liberação parece estar sendo feita em um nivel acima das regras de firewall. Desse jeito a LAN funciona, porém não consigo configurar nenhum bloqueio para ela.
Alguém já passou por isso ou sabe o que pode estar acontecendo ?
Obrigado,
-
@hcoelhos Crie um Regra na LAN, bloqueando as Portas 80 e 443 .. Certamente vai bloquear sua navegação!!
-
Ola andrezaomac,
Não funciona, é exatamente essa a questão, as regras de bloqueio não estão parando a navegação. Já tinha uma regra bloqueando tudo da LAN net para qualquer coisa, porém criei as regras como me falou para desencargo de conciência, mas o resultado foi o mesmo.
Outra coisa que reparei, é que mesmo só com as regras de bloqueio criadas, sem nada liberado, eu continuo acessando o pfsense pela lan, nem isso deveria funcionar.
Estou anexando uma imagem de como estão minhas regras para verificarem como o problema é maluco.
interface ADMIN = LAN
Interface OUTSIDERNP = WAN
Flutuante
Desse jeito que está, continuo navegando tranquilamente por qualquer porta ou site com meus hosts ligados na LAN, inclusive acessando o pfsense.
-
@hcoelhos Na aba LAN, coloque a Regra assim.
Estado = blocked
Protocolo = IPv4*
Origem= *
Porta= *
Destino= *
Porta= *
Gateway= *
-
@hcoelhos Outro detalhe.
Em SistemaAvançado>>Firewall & NAT
Em Opções de Otimização do Firewall: qual está ?
-
Então, a regra estava assim antes, mas não funcionava. Coloquei dos dois jeitos agora, e os hosts continuam navegando, olha a imagem abaixo:
-
@hcoelhos Realmente estranho!!!!
Vc viu que no ícone do "sininho" no canto superior, está informando 18 alertas!!! provavelmente tem coisa errada no seu pfSense!!!
Verifica os alertas!!!Obs: Pode ser que eu esteja falando bobagem, mas acho que não deve renomear as interfaces WAN e LAN!!!! (não tenho certeza dessa informação), eu particularmente deixo Default!!!
-
Vou reinstalar o pfsense para verificar se o problema não acontece ( tomarei o cuidado de não renomear as interfaces).
Quanto ao sininho, é algo que tinha notado que aparecem diversos erros desde a instalação.
Qual versão estão utilizando ?
-
Só completando, eu não havia visto uma de suas perguntas sobre o NAT, ele está automático.
-
@hcoelhos Mas não é esse NAT que estou falando.
Eu digo o que fica em Sistema >> Avançado >> aba Firewall & Nat >> Em Opções de Otimização do Firewall:
-
Ah sim, foi mal. Bom, lá está com as configurações default:
-
@hcoelhos Esta igual o meu!!!! Provavelmente é algum erro interno no pfSense, pode ser que tenha influencia com a troca dos nomes da interface ou pode ser que não.!
-
Voce está usando a 2.4 ?
-
@hcoelhos 2.3.4
-
Reinstalei o pfsense na versão mais atual do site 2.4.3. Após a instalação apenas configurei as interfaces, removi todas as regras de lan e criei apenas o bloqueio geral. Porém o problema persiste, segue a imagem:
Minha máquina que está na lan do pfsense consegue navegar sem nenhum bloqueio, também abri abas anonimas para verificar se não é cache, além de estar postando aqui com essa máquina (ou seja, não é cache).
Vou tentar reinstalar a versão 2.3.5 para verificar se não é algum bug dessa versão.
Após os testes com a 2.3.5 eu posto os resultados.
-
Reinstalei utilizando o pfsense na versão 2.3.5 e funcionou corretamente, todos os bloqueios como devem ser.
Dessa forma concluo que o problema deve ser algum bug na versão 2.4.3, inclusive os alertas (sininho) não aparecem nessa versão.
Vou utilizar ela por parecer ser mais estável.
obrigado @andrezaomac, grande abraço.
-
O primeiro ponto a investigar são os alertas vários alertas que estão aparecendo na parte superior do seu pfSense.
Tenho vários pfSense 2.4.x e nenhum apresenta este comportamento que descreveu.
Lembre-se que a netgate já anunciou o fim das atualizações para a 2.3.x, então pra não ficar com um firewall desatualizado, sugiro repetir o teste em um ambiente virtual por exemplo, até encontrar onde está o problema na sua configuração.
-
Ola @marcelloc,
Então cara, na verdade esse é um ambiente de teste virtualizado, os alertas já estão presente logo após a instalação, sem fazer alterações. Pode ser algum problema com o vmware, não sei, mas a instalação limpa já começou com os problemas.
