Regras de firewall em pfsense 2.0.1 reinstalado dando problema
-
Bom, tinha um pfsense com a versão 1.2.3 rodando a mais de ano, sem problemas, ele possui diversas regras de firewall para liberar acesso as portas 500 e 4500 para acesso das maquinas locais a um servidor de vpn com o programa da cisco.Tambem tinha liberado a porta 23000 para acesso ao HOD do serpro. A uns 15 dias atualizei ele para a versao 2.0.1-Release, usando o Auto upgrade e tudo estava funcionando. A uns 10 dias a maquina que rodava esse pfsense deu problema e precisei montar uma nova. Fiz a instalação do zero, com partições para / , /var separadas. Fiz backup das configurações do servidor antigo e passei para o novo. As regras do firewall não funcionam. não da erro algum, mas quando tenta conectar a vpn ou ao HOD do serpro da tenpo de conexao expirado, como se o firewall estivesse rejeitando os pacotes na volta do servidor externo para ele. Tanto na lan como wan tenho regras de portas de destino e origem liberando essas portas e os ips dos hosts desses servidores.
A unica regra diferente que vi no servidor novo, foi uma ( segunda da lista na imagem) chamada Default allow LAN to any rule que tem como origem a LAN Net, e que se desativo as maquinas nao acessam mais a internet.
Utilizo ainda servidor proxy com squid e squidguard ( no momento desativado) sem autenticação e com proxy manual configurado em cada máquina ( porta 3128). As configurações tambem estao tao como no servidor antigo.Quando tento conectar no HOD da serpro o terminal da que nao pode conectar o host 161.148.40.200 na porta 23000, na vpn da que o host nao esta acessivel.
Em anexo os prints das telas wan e lan das rules do firewall
-
marcosjost,
monitore via tcpdump na console/ssh para onde os pacotes estão indo ou parando.
algumas regras suas estão duplicadas na wan e lan com source e destination.
Só lembrando o conceito, o pfsense é um firewall statefull, portanto você cria a regra na interface onde o trafego inicia já que a volta o pfsense sabe tratar.
att,
Marcello Coutinho -
olá marcelloc, obrigado pelo retorno.
Já corrigi as regras duplicadas, deixando todas na LAN, que é de onde partem as conexões.
Depois, com mais calma, vou fazer os testes com o tcpdump e coloco aqui os resultados.
No momento, para não parar tudo, a solucão foi colocar um firewall basico com linux com proxy transparente.