Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Regra oculta no pfsense

    Scheduled Pinned Locked Moved Portuguese
    13 Posts 2 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tifhomuv @mcury
      last edited by

      @mcury Não entendi oque você quis dizer com o endereçamento da Lan 172.16.251.0.

      Veja se fica mais claro -> traceroute 192.168.13.156 (este é o servidor de aplicação que fica na prefeitura, eu estou no hospital, as redes do hospital e da prefeitura são interligadas por fibra do provedor de internet que é o mesmo.)

      1 pfSense.fhomuv.net (192.168.1.9) (meu gateway ele tem o ip 192.168.12.9 também)
      2 192.168.12.1 (192.168.12.1) (Equipamento de fibra do provedor de internet)
      3 172.16.254.1 (172.16.254.1) (Equipamento do provedor)
      4 172.16.21.253 (172.16.21.253) (Equipamento do provedor)
      5 vector156.fhomuv.net (192.168.13.156) (Servidor de aplicação)

      Observação: Eu acesso o servidor de aplicação por remote desktop. O servidor precisa acessar meu printserver (192.168.12.9), eles se pingam mas quando vou adicionar uma impressora ou mandar uma impressão simplesmente trava tudo por causa dessa regra. Ela trava a comunicação que sai do printserver 192.168.12.9 na porta 631 e deveria ir para o servidor 192.168.13.156.

      M 1 Reply Last reply Reply Quote 0
      • M
        mcury Rebel Alliance @tifhomuv
        last edited by

        @tifhomuv said in Regra oculta no pfsense:

        O servidor precisa acessar meu printserver (192.168.12.9), eles se pingam mas quando vou

        Infelizmente não deu para entender a sua explicação

        Pelo que eu entendi até agora:

        Cliente acessando o servidor de impressão chega com o IP: 172.16.254.1
        Servidor de impressão: 192.168.12.10

        Simplificando, seria isso?

        dd8a04fa-a472-4a0d-b482-5ced02a8d7b1-image.png

        Nesse caso, você enxerga bloqueio de TCP:SA (retorno de pacote que no seu caso acredito estar associado a assimetria), de uma regra que diz que o pacote não está vindo da rede atrás da interface xn0.

        dead on arrival, nowhere to be found.

        T 1 Reply Last reply Reply Quote 0
        • T
          tifhomuv @mcury
          last edited by

          @mcury Na verdade o cenário seria esse da figura:problema de impressão.jpeg

          O servidor de aplicação tem uma impressora instalada que está no servidor de impressão. Quando tento mandar imprimir o servidor de aplicação trava porque não recebe resposta.
          Quando vou olhar no firewall o log mostra o bloqueio da rede 192.168.12.0 conforme inicio do post.
          Pelo que entendi o servidor de aplicação alcança o de impressão, mas na volta o de impressão não consegue retornar para o de aplicação por causa dessa regra que não fui eu quem criei.

          M 1 Reply Last reply Reply Quote 0
          • M
            mcury Rebel Alliance @tifhomuv
            last edited by

            Lá na interface WAN que conecta ao modem 192.168.12.1, confirma se isso está habilitado, se estiver desabilite e tente novamente:

            886745f5-c3f7-4ed8-bb8e-a839f9d78777-image.png

            dead on arrival, nowhere to be found.

            T 1 Reply Last reply Reply Quote 0
            • T
              tifhomuv @mcury
              last edited by tifhomuv

              @mcury Está desabilitado. Um amigo já tinha dado esta dica por já estar atraz do firewall do provedor. O PFSense estou usando mais é para gerenciamento da rede local, dhcp, dns, proxy entre outros serviços de rede.

              M 1 Reply Last reply Reply Quote 0
              • M
                mcury Rebel Alliance @tifhomuv
                last edited by

                Tem um NAT no modem da ISP, então o pacote vindo da origem chega como 172.16.254.1.
                O pacote chega no servidor de impressão, e tenta retornar, onde o pfsense bloqueia..
                Pode confirmar se o gateway configurado no servidor de impressão está correto?
                Deveria ser 192.168.12.9 o gateway, me parece que você configurou 192.168.12.10?

                dead on arrival, nowhere to be found.

                M 1 Reply Last reply Reply Quote 0
                • M
                  mcury Rebel Alliance @mcury
                  last edited by

                  Lá nos logs do pfsense, você enxerga o TCP:S ou apenas o TCP:SYN ACK com bloqueio?
                  Confirma se a regra que permite o acesso está com a opção de logar as solicitações, ai tenta de novo e confirma se o primeiro pacote da conexão, que é um TCP:S está sendo permitido pelo firewall..

                  Nos seus logs só dá para ver o TCP:SYN ACK sendo bloqueado

                  dead on arrival, nowhere to be found.

                  T 1 Reply Last reply Reply Quote 0
                  • T
                    tifhomuv @mcury
                    last edited by

                    @mcury Na verdade eu filtrando o log do printserver é esse o resultado:
                    Log bloqueio printserver.png

                    E não há regra de bloqueio nem de liberação, estou com as regras padrões do PFSense, lembrando que eu acesso o servidor de aplicação, uso o sistema normalmente via remote desktop.
                    Mas segue o print das regras.
                    Lan:
                    Regras Lan.png
                    Wan:
                    Regras Wan.png

                    M 1 Reply Last reply Reply Quote 0
                    • M
                      mcury Rebel Alliance @tifhomuv
                      last edited by

                      Se você não enxerga o SYN, é porque você está com algum tipo de assimetria na sua rede.

                      O three way handshake do TCP funciona da seguinte forma:

                      1- SYN
                      2 - SYN ACK
                      3 - ACK

                      Se o pfsense não enxerga o primeiro pacote SYN, ele vai bloquear o resto dos pacotes que tentarem passar.

                      Por isso acredito que você tenha algum tipo de assimetria na sua rede, onde o pfsense não recebe o SYN, e quando chega a resposta do servidor de impressão SYN ACK, ele bloqueia.

                      dead on arrival, nowhere to be found.

                      1 Reply Last reply Reply Quote 0
                      • T
                        tifhomuv
                        last edited by

                        @mcury Tem alguma sugestão do que devo fazer?

                        M 1 Reply Last reply Reply Quote 0
                        • M
                          mcury Rebel Alliance @tifhomuv
                          last edited by

                          Garanta que o pacote está fazendo o mesmo caminho, na ida e na volta.

                          cliente -> Gateway A ---Provedora--- Gateway B -> servidor
                          servidor -> Gateway B --- Provedora --- Gateway A -> cliente

                          Se o pacote está chegando por um gateway e o servidor devolvendo por outro, o problema acontece..

                          As vezes o servidor tem mais de uma placa de rede, e se ele não tiver uma rota específica para devolver por uma placa de rede, ele pode devolver pela rota default, que pode não ser a placa de rede por onde o pacote chegou, causando a assimetria.

                          Você pode fazer uma captura de pacotes para ajudar a identificar o problema.

                          dead on arrival, nowhere to be found.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.