[Resolvido] - Problema acessar servidor web na dmz a partir da rede local



  • Tenho pfsense 2.0.1 64bits

    redeLink 200.201.202.200/28
    redeDMZ 10.10.10.0/24
    redeLocal 192.168.0.0/24

    Virtual IP (VIP) do tipo carp com ip externo: 200.201.202.203
    NAT 1:1 do 200.201.202.203 para 10.10.10.203

    O servidor 10.10.10.203 disponibiliza o ssh (22), ftp (21) e http (80).

    Quando eu acesso através da internet o ip 200.201.202.203 nos serviços, 22,21 e 80 funciona normalmente, ou seja, acesso externo ao servidor web esta ok.
    Quando eu acesso atraves da rede local (origem 192.168.0.3) o servidor 10.10.10.203 nos serviços 21 e 22 funcina normalmente, mas não funciona na porta 80.
    E neste teste a partir da rede interna eu ativei o tcpdump na interface da dmz do fw e pude verificar que passa pacote da rede local para rede dmz somente quando é a porta 21 e 22, quando a porta é 80 no ip da dmz (10.10.10.203) nao aparece nenhum pacote.

    O web redirect da interface web está desativado e estou usando a adm web do pfsense em https (443).

    Alguem tem alguma ideia de como posso resolver isso o problema de acesso a porta 80 no servidor da dmz a partir da rede local?

    Muito Obrigado



  • Loammy,

    Bem vindo ao fórum!  :)

    Você tem mais algum serviço rodando neste servidor? squid, captive portal?

    regra de firewall bloqueando ou forçando load balance na 80?



  • Muito Obrigado marcelloc…

    No pfsense está rodando o squid na porta 3128 com balanceamento de link atraves de uma regra de Foating.

    Regra de firewall não é, porque não aparece nos logs do firewall, só se for devido a regra mencionada acima, mas não acho que seja isso...

    Obrigado.



  • Squid esta no modo transparente ou os clientes mandam tudo(inclusive a requisição 80 da dmz) para o squid?

    Sua regra na aba floating nao trata porta 80? Veja com o tcpdump se o pacote nao esta indo parar na wan/wan2.



  • O squid não está no modo transparente não… Usamos o modo ativo.

    Esse lance de ver com o tcpdump se os pacotes não vão pra wan1 ou wan2 me pareceu boa... vou verificar e posto o resultado...

    Acho que vc matou a charada... vou averiguar a regra do floating tb... :D

    Obrigado.



  • Marcelloc, era mesmo o que voce comentou…

    Fiz o teste com o tcpdump e o pacote foi mesmo redirecionado para a interface de rede do link de internet. Isso ocorria porque eu não estava tratando a regra de floating, após fazer isso funcionou perfeitamente...

    Muito Obrigado pela luz... kkkkkkkk

    Abs



  • favor altere o status como resolvido..


Log in to reply