PfSense não libera porta em modo Stealth?

Wisdown

Olá pessoal,

Sou um novo usuário aqui do forúm, e no mundo linux.
Depois de apanhar muito no debian com iptables sem ter o resultado final desejado, por indicação, passei a testar o pfSense.

Aparentemente tudo funciona perfeitamente no modo padrão.
Porém, quando criei a regra (Firewall / Rules)

Action: Pass
Interface: WAN
Protocol: TCP
Source: any
Destination: xxx.xxx.xxx.xxx (IP local do meu apache)
Destination Port Range: from http to http

Eu obtive com sucesso o redirecionamento para meu apache.
Ao verificar o estado do firewall no site do Shields UP:

https://www.grc.com/x/ne.dll?bh0bkyd2

Ele aponta que minha porta 80 está aberta…

No debian eu usava SNAT e ativava esses parâmetros:

tcp_syncookies = 1
icmp_echo_ignore_all = 1
icmp_echo_ignore_broadcasts = 1
icmp_ignore_bogus_error_responses = 1
accept_redirects = 0
accept_source_route = 0
arp_filter = 1
log_martians = 1
rp_filter = 1

E fazia o redirecionamento para meu apache assim:

iptables -t nat PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:80 (IP local do meu servidor Apache)

Dessa maneira meu gateway nunca respondia a nenhum ping da internet, e a porta 80 (assim como as demais portas) sempre passava nos testes online como em stealth, porém, servindo devidamente os sites / serviços (email / dns /etc...) que eu uso.

Há alguma maneira de reproduzir esse mesmo resultado no pfsense?

johnnybe

O Shields Up está mostrando exatamente o que você fez: liberou a porta 80 na WAN.
Antes, quando você estava usando o Debian, você tinha feito NAT e isto é o que você deve fazer agora também, no pfSense.

Wisdown

@johnnybe:

O Shields Up está mostrando exatamente o que você fez: liberou a porta 80 na WAN.
Antes, quando você estava usando o Debian, você tinha feito NAT e isto é o que você deve fazer agora também, no pfSense.

Quando criei a regra no pfsense ele automaticamente criou o NAT com o status:

linked rule

Você estaria dizendo para eu remover a Rule que fiz e manter apenas o NAT seria isso?

johnnybe

Você criou a regra primeiro na WAN ou criou o NAT e selecionou Filter rule association?

Wisdown

Eu fiz como havia comentado:

Aparentemente tudo funciona perfeitamente no modo padrão.
Porém, quando criei a regra (Firewall / Rules)

Action: Pass
Interface: WAN
Protocol: TCP
Source: any
Destination: xxx.xxx.xxx.xxx (IP local do meu apache)
Destination Port Range: from http to http

Cliquei em Firewall
Cliquei em Rules
E preenchi os dados que informei, de resto não mudei mais nada.
Ele automaticamente criou o NAT.

Uma adição de detalhe aos passos que mencionei seria esse:

Destination: Single host or alias xxx.xxx.xxx.xxx (IP local do servidor debian executando o apache)

johnnybe

Normalmente, eu faço o contrário:
1- Crio o NAT Port forward e seleciono Filter rule association, ultima opção da página Firewall: NAT: Port Forward: Edit.
2- Verifico a regra (rule) associada na WAN.
Segue cópia das telas do NAT: Port Forward e Firewall: Rules na WAN.

nat_portforward_openfire.png_thumb

rule_assoc_wan_nat_portforward_openfire.png_thumb

JackL

@Wisdown:

Sou um novo usuário aqui do forúm, e no mundo linux.

Sem querer ser chato, mas já sendo, o pfSense não tem relação (parentesco) com o Linux. Aqui, estamos no mundo BSD (mais precisamente, o FreeBSD)!

;)

Abraços!
Jack

LFCavalcanti

Calma JackL kkk

Acho que o que ele quis dizer que está se aventurando agora por águas livres e internacionais rsrs

Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.

JackL

@LFCavalcanti:

Calma JackL kkk

Estou 100% calmo LFCavalcanti…

Na verdade não quis ser ríspido, se passei esta impressão, não era a intenção. Só quis contextualizar e enquadrar os conceitos! ;)

Como diz o marcelloc, as vezes precisamos usar os smiles pra deixar claro que não estamos "passando um pito", apenas fazendo um comentário tranquilo… Então aí vai:

:D :) ;)

Abraços!
Jack

LFCavalcanti

JackL,

Mestre Jedi… eu já te conheço, sei que você estava brincando... mas vai que o rapaz não leva por esse lado... ::)

JackL

@LFCavalcanti:

mas vai que o rapaz não leva por esse lado… ::)

Ta certo…

Espero e imagino que ele não tenha levado para o "lado errado"! :)

Abraços!
Jack

johnnybe

@LFCavalcanti:

Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.

Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.

LFCavalcanti

@johnnybe:

@LFCavalcanti:

Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.

Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.

Essa opção já é ativada por padrão. ;D

johnnybe

@LFCavalcanti:

@johnnybe:

@LFCavalcanti:

Sobre a regra, nesse caso você cria a regra em Firewall > NAT. Feito isso o próprio PFSense vai criar a regra em Firewall > Rules.

Desde que selecionada a opção Filter rule association, aí sim, é criada a regra em Firewall > Rules.

Essa opção já é ativada por padrão. ;D

Verdade, mas vai que rolem a caixinha de menu, sem querer… ;D