PfSense não libera porta em modo Stealth?



  • Olá pessoal,

    Sou um novo usuário aqui do forúm, e no mundo linux.
    Depois de apanhar muito no debian com iptables sem ter o resultado final desejado, por indicação, passei a testar o pfSense.

    Aparentemente tudo funciona perfeitamente no modo padrão.
    Porém, quando criei a regra (Firewall / Rules)

    Action: Pass
    Interface: WAN
    Protocol: TCP
    Source: any
    Destination: xxx.xxx.xxx.xxx (IP local do meu apache)
    Destination Port Range: from http to http

    Eu obtive com sucesso o redirecionamento para meu apache.
    Ao verificar o estado do firewall no site do Shields UP:

    https://www.grc.com/x/ne.dll?bh0bkyd2

    Ele aponta que minha porta 80 está aberta…

    No debian eu usava SNAT e ativava esses parâmetros:

    tcp_syncookies = 1
    icmp_echo_ignore_all = 1
    icmp_echo_ignore_broadcasts = 1
    icmp_ignore_bogus_error_responses = 1
    accept_redirects = 0
    accept_source_route = 0
    arp_filter = 1
    log_martians = 1
    rp_filter = 1

    E fazia o redirecionamento para meu apache assim:

    iptables -t nat PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:80 (IP local do meu servidor Apache)

    Dessa maneira meu gateway nunca respondia a nenhum ping da internet, e a porta 80 (assim como as demais portas) sempre passava nos testes online como em stealth, porém, servindo devidamente os sites / serviços (email / dns /etc...) que eu uso.

    Há alguma maneira de reproduzir esse mesmo resultado no pfsense?



  • O Shields Up está mostrando exatamente o que você fez: liberou a porta 80 na WAN.
    Antes, quando você estava usando o Debian, você tinha feito NAT e isto é o que você deve fazer agora também, no pfSense.



  • @johnnybe:

    O Shields Up está mostrando exatamente o que você fez: liberou a porta 80 na WAN.
    Antes, quando você estava usando o Debian, você tinha feito NAT e isto é o que você deve fazer agora também, no pfSense.

    Quando criei a regra no pfsense ele automaticamente criou o NAT com o status:

    linked rule

    Você estaria dizendo para eu remover a Rule que fiz e manter apenas o NAT seria isso?



  • Você criou a regra primeiro na WAN ou criou o NAT e selecionou Filter rule association?



  • Eu fiz como havia comentado:

    Aparentemente tudo funciona perfeitamente no modo padrão.
    Porém, quando criei a regra (Firewall / Rules)

    Action: Pass
    Interface: WAN
    Protocol: TCP
    Source: any
    Destination: xxx.xxx.xxx.xxx (IP local do meu apache)
    Destination Port Range: from http to http

    Cliquei em Firewall
    Cliquei em Rules
    E preenchi os dados que informei, de resto não mudei mais nada.
    Ele automaticamente criou o NAT.

    Uma adição de detalhe aos passos que mencionei seria esse:

    Destination: Single host or alias xxx.xxx.xxx.xxx (IP local do servidor debian executando o apache)



  • Normalmente, eu faço o contrário:
    1- Crio o NAT Port forward e seleciono Filter rule association, ultima opção da página Firewall: NAT: Port Forward: Edit.
    2- Verifico a regra (rule) associada na WAN.
    Segue cópia das telas do NAT: Port Forward e Firewall: Rules na WAN.






  • @Wisdown:

    Sou um novo usuário aqui do forúm, e no mundo linux.

    Sem querer ser chato, mas já sendo, o pfSense não tem relação (parentesco) com o Linux. Aqui, estamos no mundo BSD (mais precisamente, o FreeBSD)!

    ;)

    Abraços!
    Jack



  • Calma JackL kkk

    Acho que o que ele quis dizer que está se aventurando agora por águas livres e internacionais rsrs

    Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.



  • @LFCavalcanti:

    Calma JackL kkk

    Estou 100% calmo LFCavalcanti…

    Na verdade não quis ser ríspido, se passei esta impressão, não era a intenção. Só quis contextualizar e enquadrar os conceitos! ;)

    Como diz o marcelloc, as vezes precisamos usar os smiles pra deixar claro que não estamos "passando um pito", apenas fazendo um comentário tranquilo… Então aí vai:

    1. :D :) ;)

    Abraços!
    Jack



  • JackL,

    Mestre Jedi… eu já te conheço, sei que você estava brincando... mas vai que o rapaz não leva por esse lado... ::)



  • @LFCavalcanti:

    mas vai que o rapaz não leva por esse lado… ::)

    Ta certo…

    Espero e imagino que ele não tenha levado para o "lado errado"! :)

    Abraços!
    Jack



  • @LFCavalcanti:

    Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.

    Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.



  • @johnnybe:

    @LFCavalcanti:

    Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.

    Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.

    Essa opção já é ativada por padrão.  ;D



  • @LFCavalcanti:

    @johnnybe:

    @LFCavalcanti:

    Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.

    Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.

    Essa opção já é ativada por padrão.  ;D

    Verdade, mas vai que rolem a caixinha de menu, sem querer…  ;D


Locked