Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema de bloqueo de tráfico TCP de respuesta a un a petición desde la LAN

    Español
    2
    3
    2.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Admin-Uni
      last edited by

      Hola a todos:

      Dispongo de un equipo con pfSense 1.2.3 instalado en HD, sin módulos extra, con 6 conexiones (ver gráfico):

      LAN -> Red con diferentes VLAN's gestionadas con un switch Nivel 3 (10.17.116.0/24, 10.17.117.0/24, 10.17.118.0/24, 10.17.119.0/24)
      WLAN -> Red Wi-Fi (192.168.1.0/24)
      DMZ -> Servidores Web y Correo (192.168.0.0/24)
      WAN_DMZ -> Conexión para acceso a los servicios Web y Correo.
      WAN_P -> (En modo Bridge con LAN) Conexión a Internet, por una red coporativa confiable, para la VLAN (10.17.116.0/24)
      WAN -> Conexión Cable Modem con DHCP para acceso a Internet de las otras VLAN's

      Todos los equipos, por cuestión de configuración de las VLANs en el Switch L3, tienen como puerta de enlace el puerto LAN del firewall (10.17.119.253/22)
      En todos los interfaces se realiza NAT saliente, excepto en WAN_P.

      Todo me funciona, excepto cuando pretendo sacar el tráfico de la VLAN 10.17.116.0/24 por la conexión WAN_P, la cual no da ningún problema con los protocolos ICMP y UDP (p.e. comandos ping y tracert con logs confirmandolo), en cambio con el TCP permite el tráfico saliente y bloquea el tráfico de respuesta (según los logs), y eso que tengo una regla en el interface WAN_P que permite el TODO tráfico para TODOS los protocolos y TODAS las redes hacia la red LAN.

      Reglas:

      LAN –----------------------------------------------
      Proto.      Origen              Puert_ O  Destino  Puerto_D  Gateway
      TCP/UDP  10.17.116.0/24  *            *          *          10.17.119.254
      ICMP      10.17.116.0/24  *            *          *          10.17.119.254

      WAN_P ----------------------------------------------
      Proto.  Origen  Puerto_O        Destino    Puerto_D  Gateway
      *          *        *                  LAN net    *            *

      p.e. Logs Firewall para una comunicación web a Google (74.125.79.104)

      Conex.  If        Pro    Origen                  Destino
      OK      LAN      TCP  10.17.116.1:1250  74.125.79.104:80  (regla que permite el tráfico TCP desde la LAN por la WAN_P)
      Bloq    WAN_P  TCP  74.125.79.104:80  10.17.116.1:1250  (La regla que bloquea es la de por defecto en pfSense)

      Un saludo a todos y gracias por anticipado.

      Admin-Uni.

      ![Esquema conexiones.png](/public/imported_attachments/1/Esquema conexiones.png)
      ![Esquema conexiones.png_thumb](/public/imported_attachments/1/Esquema conexiones.png_thumb)

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        ¡Hola!

        ¿Los usuarios navegan sin problemas?

        Si es así es normal que veas algunos bloqueos "de vuelta". Eso es debido a que en algunos casos cuando el servidor web responde el usuario ya cerró la sesión.

        En estos casos como no hay ya sesión abierta pfSense lo entiendo como un ataque y lo corta.

        En la instalación que administro también acostumbro a tener registros de este tipo. Y como tenemos un servidor web los tenemos también en sentido contrario.

        Saludos,

        Josep Pujadas

        1 Reply Last reply Reply Quote 0
        • A
          Admin-Uni
          last edited by

          Hola Josep:

          En primer lugar, agradecerte tu respuesta.

          Nadie podía navegar, lo único que permitía a todos es tráfico ICMP y UDP (ejecutando comandos ping y tracert) y a ninguno le "llegaba" el tráfico de retorno ante una solicitud web, según los logs el tráfico salía y el retorno se bloqueaba. La situación era para mí problemática, ya que yo no puedo gestionar del router por donde debía salir el tráfico (lo gestiona el Dpto Educación de mi comunidad y son reacios a propuestas de su modificación).

          Despues de darle muchas vueltas, se me ocurrio modificar las configuraciones de las interfaces de red, básicamente realicé una permutación en las conexiones entre los interfaces WAN y WAM_P, de forma que las conexiones quedaron  de la sig. manera:

          WAN -> (conectada a la red corporativa) 10.17.119.253/32 (misma IP que if LAN) G:10.17.119.254, NAT (out) deshabilitado
          WAN_P -> (conectada  al Cable Modem) DHCP, NAT (out) habilitado
          LAN -> 10.17.119.253/22 Bridge con WAN

          Habilité en if WAN una regla que permitiera el tráfico de todos los protocolos hacia la LAN (en principio la red corporativa es fiable).

          El resultado de todo esto es que !!!! FUNCIONÓ !!!!!, los equipos de la VLAN 10.17.116.0/24 comunicaban sin problemas a través if WAN (red corporativa) y el resto de las VLANs lo hacía, sin problemas, por la if WAN_P.

          El tópico de la "idea feliz" se cumplió en mi caso.

          Un saludo y mi sincero reconocimiento y felicitaciones por tu trabajo Josep.

          Admin-Uni

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.