Porta 21 / 443 Bloqueio
-
Olá, sou novo no fórum, estou com um problema, e que já fiz todos os testes até onde sei, talvez o que eu possa dizer acabe influenciando na resolução mas acredito que se o problema não for do meu link (provedor) tenha algo passando despercebido em alguma configuração.
Enfim, vamos lá...
Tenho um PfSense fazendo trabalho de failover com 3 links que vou chamar de (A, B e C), eu tenho dois links de provedor de "Bairro" (B e C) e um da Live Tim (Link A) mas não é fibra, no caso dos outros links são todos fibra, sendo que um deles tenho IP Público (Link B) para que eu possa fazer meus acessos aos serviços que preciso e o outro é só Internet mesmo sem IP Público ( Link B - Não tenho acesso as portas).
Só para que vocês entendam minha estrutura.
O meu "problema" é o Link B que acaba sendo meu Link principal até por conta da fibra.
Até duas semanas atrás eu tinha acesso a porta 21 que usava meu FTP normalmente mas de repente essa semana percebi que eu perdi o acesso, já entrei em contato com o provedor mas sem sucesso na resolução do problema, já verifiquei no log do Firewall mas a porta 21 não bate no meu Firewall, outras portas que fiz teste ele bloqueou.Meu provedor diz que o problema é daqui da minha estrutura pois tenho um IP Público que teoricamente ele é enxergado por qualquer lugar. Eu até poderia mudar a porta do FTP mas gostaria de manter até por conta do domínio e vários clientes já configurado.
Detalhe que em outra porta funciona normal, outras portas funcionam normalmente configurado NAT do PfSense.
No meu Firewall uso Filezilla Server em um Windows Server 2019 Datacenter, no Windows já liberei Firewall, já desabilitei mas nada funciona.
Peço por gentileza que me ajudem, alguma ideia de algo que não esteja percebendo, alguma configuração ou algo que mudou recentemente na ultima atualização, teve uma atualização recente do PfSense mas não sei dizer se o motivo é esse.
Obrigado desde já!
-
@renanlofiego said in Porta 21 / 443 Bloqueio:
já verifiquei no log do Firewall mas a porta 21 não bate no meu Firewall, outras portas que fiz teste ele bloqueou.
Se não chega no seu firewall, só pode ser a provedora.
Note que muitas provedoras bloqueiam essas portas.. 21,80,443...
-
@mcury É o que acho mas o pessoal insiste em dizer que não é de lá... Tá foda!
-
@renanlofiego liga um notebook direto no modem do provedor, com o filezila, e testa.
Se der o mesmo problema, chama o técnico do provedor e mostra pra ele.
O equipamento deles vc fez um DMZ para o PFsense ? Ou direcionou as portas ? -
@ismarcs Amigo, fiz DMZ apontando para o PfSense e fiz pelo forwarding também e nenhum vai :(
Boa, vou testar pelo Notebook, vai que o Windows Server deu pau em alguma coisa rs
-
Pessoal, boa tarde!
Fiz alguns testes inclusive com o provedor, trocaram meu roteador e nada.
Eu não prestei atenção porque não tenho a data correta mas penso até que pode ser algum BUG da ultima versão do PfSense, pois atualizei tem pouco tempo, só restou isso agora.
Fiz vários testes e inclusive fiz teste colocando um notebook com FileZilla Server e também não funcionou.
Sabem onde consigo baixar as versões antigas do PfSense?
Abraço!
-
Você sabe fazer captura de pacote para ver se o pacote está chegando na WAN do pfsense?
Pode dar um ssh pro pfsense, opção 8 e digitar:
(substitua igb1 pelo nome da interface WAN) e (substitua IP pelo IP da WAN)
tcpdump -ni igb1 tcp port 21 and dst IP
depois tente a 443
tcpdump -ni igb1 tcp port 443 and dst IPDepois de configurar a captura, teste a conexão na portas portas e vê se aparece algo lá na captura.
CTRL+C para sair da captura.
-
@mcury Não sei fazer meu amigo mas vou me informar aqui... Posso fazer isso pela web ou via comando?
Eu vi pelo Firewall Log e não tem bloqueio do Firewall das portas 21 e 443.
-
O exemplo que te passei é via comando, por ssh ou console.
Pela GUI é possível fazer, no entanto, o campo host address, não dá para especificar uma origem, ou destino, apenas host, e isso vai criar muito ruído na sua captura, pois você estará acessando o pfsense também pela porta 443.
Pela GUI, recomendo que você teste apenas a porta 21.EDIT: Caso você conheça o IP de origem que estará tentando acessar o seu pfsense na porta 21, pode colocar esse IP em Host Address
O resto você deixa tudo padrão, depois clique em start lá embaixo.
Faça o teste, depois clique em View Capture e veja se apareceu alguma coisa.Caso vá postar aqui, cuidado para não postar o seu endereço IP externo.
-
@mcury meu amigo, não apareceu a porta 21, só testei a 21 mesmo.
Quanto coloquei a em Port 21 não apareceu nada ai depois deixei em branco ai mostrou o relatório mas não veio nada sobre a porta 21. :(
Meu IP é público só para nível de conhecimento.
O pessoal do meu provedor dizem que está tudo liberado, até por meu IP ser público não tem nada bloqueando mas as vezes fico desconfiado mas se fosse o caso eles iriam querer me vender um plano de link dedicado e não está sendo este o caso. Muito estranho, acredito que eles estão dando melhor deles mas enfim.
-
Se durante a captura, você fez o teste e nada apareceu, é porque o pacote não está chegando na interface do pfsense.
Fiz aqui e deveria ter aparecido isso
Note que meu pfsense não está respondendo, mas vejo o pacote chegando.
Usei esse site para testar: https://www.yougetsignal.com/tools/open-ports/
-
@mcury Putz, não apareceu mesmo.
Caramba...
-
Testa outra porta
Coloca a captura na port 5000
E faz o teste lá usando a porta 5000, confirma se vai aparecer algo..Se aparecer, o problema parece ser exclusivo da porta 21, o que indica que o problema está no modem ou no provedor de Internet que não está te encaminhando essa porta.
E provavelmente está acontecendo o mesmo com a porta 443.
-
Aparentemente aqui está tudo certo...
-
Foi, registrou sim
14:41:33.615761 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0
14:41:34.622904 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0
14:41:36.635542 IP xxx.xxx.xxx.xxx.57966 > 192.168.0.200.5000: tcp 0 -
Você está abrindo a gerência do pfsense para a Internet por NAT?
Essas 5 regras, eu sugiro que configure uma VPN no pfsense e exclua essas regras, não é seguro.
-
@renanlofiego Então seu provedor está filtrando a porta 21, quanto a 443 eu não sei, teria que testar.
Mas muitos provedores fazem isso, bloqueiam as portas TCP 21,80 e 443.. Acham que estão ajudando.. -
@mcury Entendi, sim estou fazendo sim :D
-
@renanlofiego Não faça..
E não é assim que se faz, caso realmente queria prosseguir dessa forma, é sua responsabilidade, saiba que foi sugerido que não faça isso, ok?Mas não precisa de NAT para isso, pois o destino será o próprio pfsense.
Delete essa regra de NAT da porta 443.
Crie uma regra de Firewall na WAN, permitindo o acesso a TCP a porta 443 com destino WAN_ADDRESS -
@mcury said in Porta 21 / 443 Bloqueio:
@renanlofiego Não faça..
E não é assim que se faz, caso realmente queria prosseguir dessa forma, é sua responsabilidade, saiba que foi sugerido que não faça isso, ok?Mas não precisa de NAT para isso, pois o destino será o próprio pfsense.
Delete essa regra de NAT da porta 443.
Crie uma regra de Firewall na WAN, permitindo o acesso a TCP a porta 443 com destino WAN_ADDRESSEntão, dessa forma consigo acessar também de fora né?!
Vou seguir suas dicas.
A proposito, muito obrigado pela atenção. Obrigado mesmo por tentar ajudar, vou tentar falar com eles de novo lá.
