Problemas com IIS (Resolvido)

Elenilton · Jul 4, 2010, 9:44 PM

Alguém já teve problemas com paginas web usando o IIS do server 2003, após mudar o firewall para o PFsense? Estou tendo esse problema como um cliente e já não sei mais o que fazer. coloquei as mesmas regras que estavam num firewall linux (antigo firewall do cliente) e não funciona, esse problema começou a acontecer após a instação do pfsense como gateway da rede

Obs.:No caso ele direciona um site que está no ip 192.168.x.2
para um ip válido da Embratel 200.200.200.78 (Ip de exemplo).

Elenilton · Jun 16, 2010, 2:55 AM

Andei pesquisando no forum e achei isso:

http://forum.pfsense.org/index.php?topic=21956.15

Pelo que eu entendi ele teve o mesmo problema e não conseguiu resolver, senão achar uma solução vou ter que retrirar o pf do cliente.

Se alguém puder dá uma luz!

Obrigado.

rafael.cardoso · Jun 16, 2010, 4:33 PM

utilizo há mais de 1 ano um servidor web atrás do pfsense sem problemas, possuo um webservice rodando, fazendo vários serviços, fiz apenas regras de nat, o problema em questão é com o servidor web ou o ftp, se for ftp já postei a solução em outra conversa, se não conseguir veremos no que conseguiremos ajudar

Elenilton · Jun 16, 2010, 4:43 PM

Rafael,

Eu liberei todas as regras no firewall e fiz um nat na porta 80, o que é a porta utilizada pelo site. Mas não tive sucesso em nada, o mais estranho é que coloquei da mesma forma que estava num outro firewall linux, não tinha pq dar errado, nem as imagens do site usando internamente abrem como antes.

Elenilton · Jun 19, 2010, 12:37 AM

Bem quanto as imagens não abrirem no site já descobri o que era, tinha uma linha escrita errada que apontava para um ip externo, só coloquei na mesma faixa que os outros e deu certo. Percebi que quanto tento acessar o site externamente ele me mostra o ip interno, o mais extranho disso tudo é que eu fiz um nat no pfsense. Alguém tem idéia do porquê ele não está redirecionando o ip?

rafael.cardoso · Jun 19, 2010, 12:46 AM

Explica melhor isso, você acessou remotamente de outro local e no log do IIS ta aparecendo ip interno é isso?

Elenilton · Jun 22, 2010, 12:54 AM

Seguinte Rafael

Tenho um site interno no IIS dentro de um servidor 2003 server. Internamente consigo acessar sem problemas com o ip 192.168.x.xx. Antes eu conseguia acessar ele normalmente usando linux, quando migrei para o PF deu pau. Eu usava um nat e dava certo. Agora quanto tento acessar usando o ip externo mesmo estando com nat redirecinando ele aponta para o ip 192.168.x.xx como se eu estive-se na rede interna.

rafael.cardoso · Jun 19, 2010, 4:54 PM

hum o Heitor já explicou isso em outro lugar, nat reflection, veja isso e depois poste o resultado…

Elenilton · Jun 21, 2010, 3:22 AM

rafael

não consegui encontra nada sobre nat reflection no forum. Vou perguntar depois pro Heitor.

Elenilton · Jun 22, 2010, 1:04 AM

Joquei a toalha.
Vou refazer o firewall com linux.

Valeu galera pela força.

heitor.lessa · Jun 22, 2010, 1:37 AM

Rapaz!

Com toda a certeza não tem nada a ver com o pf….

Me responda algumas questões:

A webgui do pfSense não está na porta 80, certo?

Você simplesmente fez o Port Forward (DNAT no iptables, NAT -> PORT FORWARD) usando a placa WAN E endereço externo na porta 80, redirecionando para o ip interno na porta 80, correto?

Você por um acaso você colocou um endereço IP no pfSense diferente do que era no Linux? Pelo que você mesmo disse abaixo, teve que alterar o código, isso está com cara de configuração nos arquivos de redirecionamento (redirect_function) e nos headers.

No IIS nunca precisei fazer o mascaramento, sempre o fiz no apache usando o mod_proxy, ai ele redirecionava a página e continuava com o endereço (o que acontece com muitos por ai).

Tenho em torno de 4 IIS + alguns apaches, todos funcionam perfeitamente com o pfSense, o firewall simplesmente atenderá a requisição do usuário externo e fará o NAT entregando a conexão TCP para o servidor Web, dai pra frente, como o mesmo será tratado é por conta do IIS.

Se puder colocar algumas screenshots do IIS sobre os virtual Directories (caso tenha), dos arquivos de redirecionamento (código das páginas html, php, perl, etc.).

Se mesmo assim não resolver, verifique os logs do IIS ou coloque um apache pra teste, caso não saiba configurar um, utilizei um WAMP da vida.

No caso do NAT Reflection, é somente um NAT 1:1 do qual você faz com que todas as requisições para um endereço externo vá para um determinado endereço privado.

ou seja, tudo que bater no IP 200.142.55.95 vai pro endereço 10.25.99.55, lembrando que além das regras de firewall do gateway, há também as regras de firewall do endereço privado.

No aguardo.

Att.
Heitor Lessa

Elenilton · Jun 22, 2010, 1:50 AM

Vamos lá Heitor.

Me responda algumas questões:

A webgui do pfSense não está na porta 80, certo?
R.: não eu coloquei na porta 8180

Você simplesmente fez o Port Forward (DNAT no iptables, NAT -> PORT FORWARD) usando a placa WAN E endereço externo na porta 80, redirecionando para o ip interno na porta 80, correto?
R.:sim isso
Tb fiz um teste usando ips virtuais, mas não tive sucesso.

Você por um acaso você colocou um endereço IP no pfSense diferente do que era no Linux? Pelo que você mesmo disse abaixo, teve que alterar o código, isso está com cara de configuração nos arquivos de redirecionamento (redirect_function) e nos headers.

R.:usei o mesmo

No IIS nunca precisei fazer o mascaramento, sempre o fiz no apache usando o mod_proxy, ai ele redirecionava a página e continuava com o endereço (o que acontece com muitos por ai).

Tenho em torno de 4 IIS + alguns apaches, todos funcionam perfeitamente com o pfSense, o firewall simplesmente atenderá a requisição do usuário externo e fará o NAT entregando a conexão TCP para o servidor Web, dai pra frente, como o mesmo será tratado é por conta do IIS.

Se puder colocar algumas screenshots do IIS sobre os virtual Directories (caso tenha), dos arquivos de redirecionamento (código das páginas html, php, perl, etc.).
R.: não tenho as configurações dele comigo, mesmo pq foi feito por outra empresa, já perguntei se tinha alguma alteração e nada.

Se mesmo assim não resolver, verifique os logs do IIS ou coloque um apache pra teste, caso não saiba configurar um, utilizei um WAMP da vida.

No caso do NAT Reflection, é somente um NAT 1:1 do qual você faz com que todas as requisições para um endereço externo vá para um determinado endereço privado.

ou seja, tudo que bater no IP 200.142.55.95 vai pro endereço 10.25.99.55, lembrando que além das regras de firewall do gateway, há também as regras de firewall do endereço privado.

O que percebo é o seguinte, quando tento acessar o ip externo 189.x.x.4 era aparece como 192.168.0.2

rafael.cardoso · Jun 22, 2010, 10:49 AM

Heitor ele tenta acessa internamente o servidor com o ip externo, aquela velha confusão… por isso falei do nat reflection...

heitor.lessa · Jun 22, 2010, 12:32 PM

Grande Rafa!!

Acessei remotamente o cliente dele e o problema está no IIS, não no pfSense, como havia informado.

O IIS está pra responder somente para um endereço específico e não para qualquer (*), assim o IIS estava confundindo com o NAT do pfSense e as requisições que ele atende.

Além disso, como melhor prática deve além de responder para qualquer IP, deve-se responder para um nome, e não por IP como está sendo, isso já resolve 90% dos casos, ai você coloca como header no IIS.

Outra coisa ainda, é que as imagens não aparecem externamente, não tive tempo de olhar o código das páginas, mas pelo que parece, estas imagens apontando para um IP interno inválido da rede dele ou um nome DNS que só é conhecido internamente e não externamente, por isso a confusão e funciona internamente mas não externo.

Até agora tento entender como que estava funcionando com o bfw, mas já dei o caminho, agora é só corrigir que em 10 minutos ta tudo resolvido =).

Grande abraço!

Att.
Heitor Lessa
Blog -> http://tinodiaadia.wordpress.com

Elenilton · Jun 22, 2010, 2:28 PM

Heitor, Rafael

As imagens do site eu já descobri, tinha uma configuração errada apontando para outro servidor. Fiz os teste que o Heitor me passou ontem e tb não consegui o acesso externo com o ip da embratel, nem mesmo dentro da rede do cliente. Pedi o pessoal que configurou on IIS eles só acharam uma permissão que não estava habilitada.
Agora o mais estrano ainda é que esse rede possui uma comunicação com outra rede por meio de um rádio em bridge, nessa rede eu consigo acessar o tanto pelo ip da embratel quanto pelo ip interno. A unica coisa diferente entre elas é a versão do pfsense um está na 1.2.3 rc1 e o outro na versão release.

Obs.: essa rede que funciona está conectada na outro pela placa de rede opt1

Elenilton · Jun 23, 2010, 1:06 AM

Acabei de conseguir fazer ele funcionar na rede rede 2 e externamente, agora só não estou conseguindo que funcione dentro da rede onde o site está . Tem alguma regra que estou esquecendo de liberar?

rafael.cardoso · Jun 24, 2010, 11:47 PM

só me diz uma coisa, tentou acessar como o site internamente, colocando o ip ao qual vc acessa externamente ou direto o ip do servidor?
Se for externo, só procurar pelo meu comentário anterior…

Elenilton · Jun 25, 2010, 4:25 PM

Rafael

Na rede one está o iis não consigo acessar mesmo usando o ip interno, já rede 2 no outro predéio acesso tanto o interno quanto o externo. Estou achando que seja alguma coisa no dns.

Elenilton · Jul 4, 2010, 9:43 PM

Ufa!
Consegui deu certo!
;D ;D ;D ;D ;D ;D

Segui a dica do rafael.cardoso e do Heitor. Desabilitei a opção de nat reflection em advanced e crie um ip virtual com carp. Foi só aplicar e pronto tudo certo.

Obrigado galera mais uma vez pela força.
Até o próximo post.
;D ;D ;D ;D ;D ;D ;D

rafael.cardoso · Jul 5, 2010, 3:50 PM

eita desculpa não consegui mais ver o fórum e nem te responder, mas se deu certo ótimo.