PFSense Bloqueando aplicação
-
Pessoal, boa noite.
Estou a duas semanas tentando configurar um servidor GLPI na minha rede, mas, notei que o firewall esta bloquando algumas funções da aplicação.EX: O servidor esta sem comunicação com o serviço GLPI Network e também com qualquer sistema externo.
Já varri as configurações, revoguei algumas, e mesmo assim, continuo a vendo mensagens de falha na conexão com os serviços do GLPI.
Em nenhuma parte do firewall encontro algo que explique esta falha:
de qualquer lugar da rede, eu consigo acessar a página do serviço, realizar testes ICMP, curl entre outros, mas quando a solicitação vem da aplicação do GLPI, simplesmente não funciona.
Estou usando a versão 2.6.0 do pfsense.
Esta tarde isolei o meu servidor do Firewall e o pluguei diretamente em minha operadora com outro equipamento, e para minha total não surpresa, a conexão com todos os serviços funcionou sem preocupação, mas, ao voltar para o firewall, a falha volta a acontecer.
Se algém já passou por isso, e puder me ajudar, será de enorme ajuda, pois eu pesquise muito e sempre encontro os mesmos artigos, imcompletos e que no fim, acabaram não ajudando.
-
@dognun Olá, se for algo de fora vindo para seu servidor, vc tem que fazer a regra de entrada. Se for a saída, da uma olhada nos logs do firewall
-
@ismarcs valeu pelo feedback meu caro, mas não tem relação com as regras, já testei inclusive com regras de liberaçãi ANYxANY e nem assim a comunicação ocorre.
Ultilizei o rastreamento de pacotes, monitorei os logs e nunca vejo os pacotes indo ou vindo o destino, que no caso seria services.glpi-network.com.
O mais interessante é que, quando eu adiciono este destino ao arquivo HOSTS do servidor, ele consegue se conectar, com o site, mas nem tudo funciona, como envio de e-mails e download de plugins.
Mas novamente, quando removo o firewall da conexão, tudo funciona sem a necessidade de editar nada. -
@dognun Olá, essas regras que estão postadas acima, estão no Firewall ?
Vc tem o PFsense, por traz um servidor GLPI que esta acessível pela sua rede, esse seu servidor GLPI vai ser acessado externamente por algum serviço ?
-
@ismarcs opa.
O PFSense é o default gateway da minha rede, e sim, as regras são da VLAN de servidores e este glpi será acessado de fora, mas já tenho uma configuração no proxy reverso para este acesso, que inclusive já testei e funcionou, assim como funciona para outros serviços que tenho na mesma rede. -
@dognun Opa!
Como esta tudo ok com NAT de entrada e as regras de firewall, usa o pfTop para descobrir oq esta atrapalhando a comunicação. -
@ismarcs verifiquei o pftop e, para variar, nenhum pacote para o destino do glpi-network foi localizado.
Mas analisando mais afundo e algumas noites de sono a menos, vi que, há uma redução insana no desempenho de resolução de nomes para os meus servidores linux, ou seja, sempre que executo um ping para qualquer destino a partir de uma máquina linux há um atraso de até 6seg até conseguir uma resposta.
Este atraso não ocorre quando removo o PFSense da topologia, ou seja, com um router comum a resolução de nomes é bem mais rápida para os destinos, não levando nem 1seg.Em minhas configurações de DNS, já alterei de DNS Resolver UNBOUND para DNS Fowarder, habilitei e desabilitei o encaminhamento de solicitações e nada surte efeito.
Lembrando que, este delay so é sentido em sistemas linux, nos notebooks Windows nenhum atrasado entre a solicitação e a resposta é localizada.Sinceramente, já não sei mais o que analisar na rede, e já estou quase removendo o pfsense e colocando o meu mikrotik no lugar.
-
@dognun Cria um regra no alto do firewall, com o IP do seu GLPI, liberando tudo para qualquer lugar e veja se vai aparecer conexão no pfTop. Algum trafego tem q aparecer
-
@ismarcs Meu caro, agradeço grandemente sua disponibilidade em tentar me ajudar.
Mas finalmente, descobri qual era o problema, de fato a resolução de nome do PFSense estava atrapalhando todo o funcionamento da aplicação.A algum tempo, li em alguns fóruns que, era sentido uma lentidão na abertura de sites quando se utilizava o PFSense como Default Gateway de uma rede, fazendo papel de DNS também (mesmo que em configuração unbound) mas, até então, ainda não tinha visto isso ocorrendo de forma que prejudicasse o meu uso.
Pois bem, subi um servidor DNS local e transferi esta responsabilidade para este servidor, com isso, a aplicação agora, funciona sem problemas.
Durante os testes, tentei utilizar o DNS Fowarder do PFSense, encaminhas as solicitações para DNSs públicos e da ISP, mas os testes sempre obtinham o mesmo final, erro. Ao subir o servidor local muita coisa tem apresentado melhora.
De todo modo, muito obrigado por despender seu tempo em tentar me ajudar.
Obrigado!
-
@dognun Olá! Bom saber que está funcionando.
Interessante essa experiência ruim com o DNS, pode ajudar em outros cenário.
Boa sorte.
