Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense bloqueando sites

    Scheduled Pinned Locked Moved Portuguese
    15 Posts 2 Posters 4.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      ph_coutinho
      last edited by

      Galera Tudo bem?

      Estou tendo um problema com o Pfsense que esta bloqueando o seguinte site: https://www.explorerconsultoria.com/
      Apresenta o erro Não é possível acessar este site , Verificar o Proxy e o Firewall
      Alterei o link para http:// e também continua apresentando o mesmo erro!
      O que eu fiz de teste! Conectei o computador direto no Modem, o site mencionado abriu a página normalmente!
      Algém poderia dar uma luz do que pode estar havendo para bloquear este site?

      1 Reply Last reply Reply Quote 0
      • M
        mcury
        last edited by

        Eu consegui acessar o site pelo pfsense.
        Você está usando proxy?

        P 1 Reply Last reply Reply Quote 0
        • P
          ph_coutinho @mcury
          last edited by

          @mcury bom dia!
          Não estou usando proxy e não tenho nenhum pacote de proxy instalado! Tenho apenas o lightsquid_web /Lightsquid Web Server instalado e mesmo assim eu dei stop nele! mas o problema continua!

          1 Reply Last reply Reply Quote 0
          • M
            mcury
            last edited by

            Quais pacotes você tem instalado no pfsense?

            Você consegue pingar o site? Fiz um teste aqui e esse site aceita ICMP.

            ping www.explorerconsultoria.com
            PING td-balancer-some1-254-172.wixdns.net (35.247.254.172) 56(84) bytes of data.
            64 bytes from 172.254.247.35.bc.googleusercontent.com (35.247.254.172): icmp_seq=1 ttl=108 time=18.0 ms
            64 bytes from 172.254.247.35.bc.googleusercontent.com (35.247.254.172): icmp_seq=2 ttl=108 time=17.9 ms
            ^C
            --- td-balancer-some1-254-172.wixdns.net ping statistics ---
            2 packets transmitted, 2 received, 0% packet loss, time 178ms
            rtt min/avg/max/mdev = 17.891/17.965/18.040/0.153 ms
            
            P 1 Reply Last reply Reply Quote 0
            • P
              ph_coutinho @mcury
              last edited by

              @mcury
              Tenho os seguintes pacotes:
              pacotes.PNG

              Estou pingando site pelo Pfsense:
              ping.PNG

              1 Reply Last reply Reply Quote 0
              • M
                mcury
                last edited by mcury

                Se você está pingando pelo pfsense, é pq o pfsense tem conectividade com o site.
                Notei também que você pingou usando o nome do site, o que confirma que o DNS também está resolvendo corretamente o site em questão.

                Os pacotes que você tem instalado não iriam interferir no acesso.. portanto, os pacotes do pfsense não estão bloqueando nada. Pode ser regras ou nat

                Outros sites você acessa?

                Mostre suas regras de firewall da interface onde o computador que não acessa está e regras de NAT.

                P 1 Reply Last reply Reply Quote 0
                • P
                  ph_coutinho @mcury
                  last edited by

                  @mcury
                  Blz havendo conectividade com o site!
                  Sim os pacotes não interferem no acesso!
                  Eu acesso outros sites!
                  Regras de Firewall onde o computador está:
                  Regras.PNG

                  NAT:
                  NAT.PNG

                  1 Reply Last reply Reply Quote 0
                  • M
                    mcury
                    last edited by

                    Estranho você estar bloqueando os sites com aliases.
                    Você sabe que hoje em dia, é bem complicado fazer dessa maneira, certo?
                    Os sites como facebook, instagram, linkedin e twitter por exemplo, têm centenas de servidores e isso está sempre mudando.

                    Já tentou criar uma regra de Firewall, colocando-a em primeiro na lista, permitindo o computador que não acessa o site a ir a qualquer lugar?

                    Ou pode mover temporariamente a regra "Default allow LAN to any rule", para a primeira posição, logo a baixo da regra de anti-lockout, para testar? Depois você põe ela de novo onde estava, é apenas para testar.

                    P 1 Reply Last reply Reply Quote 0
                    • P
                      ph_coutinho @mcury
                      last edited by

                      @mcury
                      Sei que é complicado fazer o bloqueio dessa maneira devido a mudança de servidores!

                      Não tentei criar uma regra em primeiro da lista, permitindo o computador que não acessa o site ir a qualquer lugar!

                      Movi a Regra "Default allow LAN to any rule", para a primeira posição, abaixo da regra anti-lockout , para testar, e o site da explorer abriu, e todos os sites que estavam bloqueados como facebook abriu também!

                      Agora o que vc me sugere para melhorar estes bloqueios sem afetar outros sites como a da Explorer consultoria?

                      1 Reply Last reply Reply Quote 0
                      • M
                        mcury
                        last edited by mcury

                        Existem algumas maneiras de fazer esse bloqueio, no entanto, isso depende de cada ambiente.
                        Uma solução pode ser boa para um ambiente, e não funcionar bem em outro.

                        Por exemplo, caso você tenha celulares na rede, os celulares não funcionarão com o Squid, mesmo que ponha em modo transparente, várias coisas deixarão de funcionar.
                        Celulares também, poderão não funcionar com o bloqueio de DNS feito pelo pfblocker DNSBL devido ao DOH e DOT.

                        Nesse caso, recomendo que a rede de celulares tenha acesso livre a Internet, sem bloqueio, criando-se uma política na empresa, onde caso o usuário faça o acesso a sites restritos, será advertido.
                        +-+
                        Agora em outros casos, onde a rede é exclusiva para computadores, você teria a opção de fazer esse filtro pelo:

                        • Squid (o que eu considero mais difícil e para usuários avançados, e não recomendo normalmente pois envolveria diversos outros problemas, bypass e etc).
                        • DNS pfblocker DNSBL, que seria relativamente bem mais fácil.
                        P 1 Reply Last reply Reply Quote 0
                        • P
                          ph_coutinho @mcury
                          last edited by

                          @mcury
                          Obrigado pelas as informações! Descobrimos que o problema e referente as regras de bloqueio!
                          Eu já fiz pelo squid, porem tive muito problema!
                          Vou tentar fazer pelo DNS pfblocker DNSBL, se vai dar certo!

                          Uma pergunta, vc e da Instituição de cursos MCURY aqui do Rio de Janeiro?

                          1 Reply Last reply Reply Quote 0
                          • M
                            mcury
                            last edited by

                            This post is deleted!
                            P 1 Reply Last reply Reply Quote 0
                            • P
                              ph_coutinho @mcury
                              last edited by

                              @mcury kkkkkkkkk muita coincidência!
                              Cara valeu pela ajuda! Só tenho agradecer!!
                              Qualquer dúvida volto a postar aqui!
                              Muito obrigado!

                              M 1 Reply Last reply Reply Quote 0
                              • M
                                mcury @ph_coutinho
                                last edited by

                                @ph_coutinho De nada, posta aqui que se eu estiver online tento ajudar, caso eu não esteja, a comunidade ajuda..
                                Tem vários tutoriais de pfblocker dnsbl aqui pelo fórum, tenho certeza que vai encontrar um que te auxilie.

                                P 1 Reply Last reply Reply Quote 0
                                • P
                                  ph_coutinho @mcury
                                  last edited by

                                  @mcury
                                  Valeu meu amigo! Muito obrigado!

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.