Nat e PortForward com problemas

leobozzi

Nat: Boa noite a todos, estou com o seguinte problema aqui. Uso alguns sistema internamente, por exemplo, tenho q liberar o acesso de dentro para fora pela porta 15000, vou no nat e configuro e a danada não funciona. Faço isso em outro locais e funciona legal. A solução de dentro para fora foi deixar o nat como automatico, ta funcionando legal, agora como defino, tipo assim bloquear a porta 80 para que alguem que conecte um pc na rede não navegue e como faço para liberar para certos ip´s a porta 80, pois uso proxy.

PortForward: Outra coisa uso para acesso de fora para dentro, exemplo, tenho um linux que acesso via ssh, dai liberei para acesso de fora para dentro e funciona normal. Agora o que esta me deixando louco é isso, tem hora que algumas portas enlouquecem, tipo não consigo acessar meu servidor remotamente atraves de outra porta em certos momentos, o pfsense tbm para de ser externamente também (através de outra porta é claro), mas o ssh ta continua, acesso meu linux perfeitamente.

Vamos lá galera. To usando a ultima versão do PfSense, instalei faz 3 semanas.

Desde já obrigado a todos

LFCavalcanti

Olá! :D

A ultima versão que você fala é a 2.0.1 certo?

Para acesso externo tem que criar as regras de Forwarding em "FIREWALL>NAT".

Para permitir acessos a destinos externos de dentro da sua rede, vocÊ tem que criar regras de Firewall na interface e não regras de NAT. Se você usa proxy compensa muito mais criar ACLs no SquidGuard ou DansGuardian do que ficar criando regras para as portas.

Com relação a essas regras de acesso externo, poderia colocar um Print no tópico?

leobozzi

Estou Criando as regras onde me falou mesmo LFCavalcanti. Segue tela capturada, tenho problemas em várias portas. Uso o Squid. Me ajude entao por favor. Exemplo: Quero liberar a porta 91 para que todas as maquinas com faixa de ip 192.168.0.0 possam utiliza-la, de dentro para fora. Onde faço isso. Sempre fiz no Firewall>Nat : Outbound.

Minha versão é :
2.0.1-RELEASE (i386)
built on Mon Dec 12 17:53:52 EST 2011
FreeBSD 8.1-RELEASE-p6

Obrigado pela ajuda

LFCavalcanti

Essa liberação da porta 91 tem que ser feita em Firewall>Rules, se você deixar o NAT Outbound como automático, ao criar a regra no Firewall ele já cria a regra de NAT.

A regra ficaria mais ou menos assim:
Source: Lan Subnet
Source Port: Any
Destination: Any
Destination Port: 91

O protocolo não sei se você precisa de TCP, UDP ou dos dois, selecione conforme sua necessidade.

leobozzi

Pois é, estou fazendo assim e tem hora que o pfsense enlouquece e para tudo, acesso externo, exemplo, o pessoal que faz acesso remoto nao consegue acessar mas meu openfire que usa uma outra porta consegue. Uma duvida será que meu modem ADSL que funciona em modo BRIDGE estaria de alguma maneira enlouquecendo isso. Esse problema persiste a um tempo, até reinstalei o Pfsense pensando ser o mesmo, mas o problema persiste.

Quanto aos meus direcionamentos estão corretos no PortForward? Sempre usei assim sem problemas

Obrigado

johnnybe

Para acesso remoto ao pfSense, não é preciso fazer NAT. É melhor você criar uma regra na WAN para isto.
A mesma printscreen abaixo talvez lhe ajude com o openfire também. A regra para o openfire consta na Description da imagem.

leobozzi

O meu é exatamente é assim, ou você quer dizer que tenho q criar isso direto nas regras?

att,

update

Fiz a alteração aqui, coloquei somente nas regras e continua sem funcionar. Gente tem algo muito errado aqui, pois funcionou mais de 4 anos sem dar problema.

marcelloc

@leobozzi:

O meu é exatamente é assim, ou você quer dizer que tenho q criar isso direto nas regras?
…tem algo muito errado aqui, pois funcionou mais de 4 anos sem dar problema.

Mais de quatro anos significa a partir da versão 1.2.3, certo?
Quando você fez a migração? Já verificou se não existem erros aparecendo no log?

att,
Marcello Coutinho

leobozzi

Fiz melhor, não migrei. Instalei tudo do zero e refiz.

Lembrando que da 1.2.3, já passei pela 2.0 beta e não tive tal problema.

To pensando em apagar isso tudo que fiz no nat e regras e refazer do zero.

Outra coisa que eu faço aqui é utilizar o DNS Dinamico, dai fica mais facil o acesso, mas achei que o ip externo poderia estar demorando a se vincular ao nome, mas não tá certinho.

Obrigado

marcelloc

Use o tcpdump na console/ssh para verificar onde o nat está parando. Com certeza o que esta faltando ou sobrando na configuração é apenas um detalhe.

att,
Marcello Coutinho

johnnybe

@leobozzi:

To pensando em apagar isso tudo que fiz no nat e regras e refazer do zero.

Outra coisa que eu faço aqui é utilizar o DNS Dinamico, dai fica mais facil o acesso, mas achei que o ip externo poderia estar demorando a se vincular ao nome, mas não tá certinho.

Aquelas print que tirei pra você, coincidentemente, são configurações de um cliente que usa IP dinâmico, cabo. A outra loja com PPPOE também funciona e elas se comunicam, seja openfire ou acesso remoto para administração do pfSense.
Talvez seja mesmo a opção, conforme suas palavras: apagar isso tudo que fiz no nat e regras e refazer do zero.
Delete tudo, reinicie o pfSense, reconfigure tim tim por tim tim e… rá tim bum. :D

leobozzi

Isso ai meu amigo obrigado, é o que farei de madrugada ou no fds que não tem ninguém por aqui. Quando tiver retorno falo aqui.

abraços

leobozzi

@marcelloc:

Use o tcpdump na console/ssh para verificar onde o nat está parando. Com certeza o que esta faltando ou sobrando na configuração é apenas um detalhe.

att,
Marcello Coutinho

Nada de anormal no TCPDump, To achando que pode ser até que um dos meus switch aqui esta louco, pois a situação está a mesma.

Vou postar as duas maneiras q tentei liberar portas

leobozzi

Gente passei o FDS todo tentando e tentando, o acesso ao pfsense e openfire não para nunca, Mas já o acesso ao terminal service para e o acesso VNC num linux teste aqui tbm para toda hora.