Analizando Comando pfTop



  • Me conecto por el putty a la consola, le doy el comando pfTop, resulta q' tengo algunos IP fuentes(SRC), no muchos, q' no pertenecen a ninguna de las 2 subredes q' tenemos aquí q' tienen como destino el IP del servidor de correo nuestro, q' significa esto?, veo q' todos los de+ parámetros relac con este IP estan normales, como pueden estar 2  IP fuentes q' no pertenecen a nuestra red, si les ayuda en algo les digo q' uno de los IP sale por el puerto 3399 y en el destino tiene 445.

    Salu2

    YBC



  • ¡Hola!

    Es lo más normal del mundo si tu servidor de correo está/estuviera "publicado" en Internet. Es decir, si has hecho NAT entrante para tu servidor de correo.

    Pero, ¿tienes algo en el puerto 445?

    Revisa bien tus NAT y reglas. Debes estar permitiendo demasiadas cosas. Permite sólo lo imprescindible.

    Saludos,

    Josep Pujadas



  • El servidor de correo no está publicado en internet, está en un dominio interno nuestro, en:

    Firewall: NAT: Outbound

    Port Forward      1:1      Outbound

    Automatic outbound NAT rule generation (IPsec passthrough)

    Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)  (tengo marcada esta opción)

    En las reglas tengo una q' permite el acceso desde la WAN al servidor de correo por TCP y todo lo de+ está  *(esto es NAT entrante al servidor de correo?), ya q'  como tu dices bellera estoy permitiendo demasiadas cosas, q' me recomiendas q' permita en esta regla en cuanto a los parámetros  Source  Port    Destination  Port  Gateway.

    Por otra parte no tengo nada en el 445.

    Saludos y muchas gracias

    YBC



  • ¡Hola!

    Pues si no tienes nada en TCP 445 y la máquina es Windows o bien tienes un servicio Samba alguien está intentando ir a tus archivos compartidos …

    Si no tienes publicado el servicio en Internet NO tienes que tener:

    • NAT 1:1
    • NAT Port Forward
    • Reglas en WAN. En WAN sólo van reglas para servicios publicados en Internet.

    tienes [NAT Outbound] y puedes tenerlo en modo Automático o Manual.

    http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound

    El objectivo del NAT saliente es que la IP que se vea al otro lado sea siempre la de la WAN con un  puerto también distinto al de origen. De esta manera si alguien fuera capaz de llegar la WAN estará a ciegas para ver qué hay dentro.

    Saludos,

    Josep Pujadas



  • Si bellera, la pc es Windows y no tengo ningún servicio Samba, por lo tanto debe ser q' alguien está intentando ir a los archivos compartidos, en nuestro entorno q' es una Universidad la WAN es todas las otras subredes de la Universidad, cuando pongo una regla y la fuente es la WAN me refiero a eso, o sea, en estos casos lo q' quiero es q' los servidores sean accesibles desde fuera de nuestra subred, pero es dentro de la universidad, no desde internet.
    Creo q' lo del NAT saliente me sirve igual, con esto q' te explico dime si debo cambiar algo de todas maneras,

    Gracias nuevamente

    Saludos

    YBC



  • ¡Hola!

    Pues si tienen que acceder desde WAN entonces tienes que hacer NAT Port forward pero sólo de los puertos que realmente "publiques" para el resto de la Universidad.

    http://www.bellera.cat/josep/pfsense/nat_cs.html#forward

    Al crear un NAT Port forward tiene que aparecerte la regla asociada a él en la WAN. Sólo lo hace al crear el NAT, no cuando lo modificas.

    Revisa bien pues lo que tengas …

    Si lo tienes bien y te aparecen direcciones IP que no son vuestras esto quiere decir que más allá de WAN hay alguna puerta demasiado abierta para el tráfico entrante desde Internet, si es que no quereis el servicio fuera ...

    Saludos,

    Josep Pujadas



  • Muchas gracias bellera, como dices me aparece la regla asociada al NAT Port forward en la WAN, tengo q' ver lo otro q' me dices para dejar abierto lo estrictamente necesario.

    Salu2

    YBC



  • Revisé bien las reglas bellera y efectivamente tenía un par de ellas q' estaba permitiendo demasiadas cosas, ya las he arreglado y ya no me salen direcc IP fuera de mi subred, el prob era q' en esas 2 reglas el acceso q' se hacia a nuestra red era solo via web y le teniamos puesto * tanto en el puerto fuente como en el destino, muchas gracias por la ayuda


Log in to reply