Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense блокирует все входящие соединения

    Scheduled Pinned Locked Moved Russian
    30 Posts 5 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      igroykt @pigbrother
      last edited by

      @pigbrother айпи насколько знаю считается серым если трафик к нему ходит через nat т.е.прямой доступ к хосту с такого адреса не получить (не будет работать например проброс портов).
      то что адрес в приватной сети я думаю тут нет ничего зазорного и это не значит что нет прямого доступа к хосту. вроде бы все это просто относится к классификации сетей (мол provider independent ip или provider dependent и .т.д.).

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @igroykt
        last edited by

        @igroykt Блин
        так и есть - у него адрес серый
        0_1534347113440_ca7ba058-e4ca-4851-907b-9ac29fe6e5f6-image.png
        вот же четко видно 10.7.1.172 - получатель

        I 1 Reply Last reply Reply Quote 0
        • I
          igroykt @Konstanti
          last edited by

          @konstanti тогда почему это дошло до его маршрутизатора и фаервол зафиксировал сие событие? или его провайдер прокидывает rdp всем своим клиентам?

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @igroykt
            last edited by Konstanti

            @igroykt вот смотрите, что еще видно
            то что вижу - 3389 порт заблокирован /верно
            потому что запрещающее правило стоит выше разрешающего и есть опция QUICK - чик и оно сработало ( так что все логично)
            Мое мнение такое - убирать нафиг все правила WAN , проверить FLOAT , чтобы было чисто , и потом уже по 1 правилу добавлять
            ТС - запрещающее правило ставить не обязательно , оно есть по умолчанию , просто срабатывает последним (оно неявное)

            I 1 Reply Last reply Reply Quote 0
            • I
              igroykt @Konstanti
              last edited by

              @konstanti а то что вижу я это то что пакет был отфильтрован его фаерволом (то бишь его маршрутизатором) следовательно он долетел до его маршрутизатора. был бы серый адрес то фаервол провайдера бы отфильтровал и следовательно до его маршрутизатора пакет бы не долетел.

              K 1 Reply Last reply Reply Quote 0
              • D
                destress_signal
                last edited by destress_signal

                Доброго всем времени суток и спасибо за отзывчивость.

                Вопрос уже носит чисто академический характер. В субботу сбросил свой сенс и все сделал снова. Все работает все отлично.

                Касательно ваших предположений:
                Внешний ip белый 100%
                Запрещающее правило в середине - на момент деланья скриншота попало случайно.
                Само запрещающее правило отключалось - результата не было.
                Сеть 10.7.4.0 - к вопросу не относится (и этой сети на момент проблем уже не было в живых). Просто не почистил правила.

                I K 2 Replies Last reply Reply Quote 0
                • K
                  Konstanti @igroykt
                  last edited by

                  @igroykt Думается мне ,что где-то провайдер поменяет адрес назначения с белого на свой внутренний серый . Это не самое страшное

                  1 Reply Last reply Reply Quote 0
                  • I
                    igroykt @destress_signal
                    last edited by

                    @destress_signal блин. всего то, а мы тут сидим ссоримся =)))

                    1 Reply Last reply Reply Quote 0
                    • D
                      destress_signal
                      last edited by

                      Извините :) просто после восстановления сенса пришлось немного поработать :) только вернулся в реальный мир

                      1 Reply Last reply Reply Quote 1
                      • K
                        Konstanti @destress_signal
                        last edited by

                        @destress_signal Отлично , как я и подумал , глюк PF . Обычно лучше смотреть содержимое файла с правилами , там четко видно как пакет идет и в какой момент какое правило срабатывает

                        1 Reply Last reply Reply Quote 1
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.