[Resolvido] Problema de bloqueio indevido no pfSense
-
Olá para todos!
Estou com um problema em uma instalação de pfsense que não consigo resolver de jeito nenhum e por isso gostaria de uma ajuda dos participantes do fórum caso possível.
Tenho um cliente com um servidor pfsense, este servidor tem 2 placas de rede, 1 na rede local e uma de cara para a internet!
Porém na rede local existe um gateway para uma rede mpls que interliga as diversas unidades da empresa.
Sempre que instalo o pfsense eu fecho toda a saída para a internet e vou liberando o acesso conforme as necessidades do cliente, porém neste caso não consigo fazer isso, pois quando fecho a saída de todos os pacotes as máquinas que estão nas outras redes MPLS não conseguem se conectar nos servidores que estão na rede local.
O mais esquisito é que quando a máquina vem de outra rede, cai no roteador da operadora e já deveria ir direto para a o servidor sem passar pelo pfsense, afinal é tudo rede local, mas a comunicação não acontece.
O gateway de todos os servidores é o pfsense e ele tem todas as rotas para as redes mpls. Se coloco uma rota estatica em algum servidor para que os pacotes da rede mpls sejam encaminhados direto para o roteador da operadora a comunicação funciona perfeitamente.
Eu estou desconfiado que é algum problema de redirect ou broadcast por que não é possível isso acontecer.
Não sei se fui claro, mas o problema só é resolvido quando desvio a rota dos servidores locais para acessar as redes mpls diretamente, quando os servidores estão apontando apenas para o gateway padrão (pfsense) a comunicação não funciona, a não ser que eu libere todo o tráfego na placa de rede local.
Não sei se é algum parâmetro de tcp que tenho que ajustar no kernel ou o que pode ser ok!
Espero que alguém tenha alguma dica!
Atenciosamente…
-
O gateway de todos os servidores é o pfsense e ele tem todas as rotas para as redes mpls. Se coloco uma rota estatica em algum servidor para que os pacotes da rede mpls sejam encaminhados direto para o roteador da operadora a comunicação funciona perfeitamente.
Você só precisa marcar a opção "Bypass firewall rules for traffic on the same interface" em system-> advanced -> firewall.
OU
enviar rotas estaticas via dhcp
http://www.j-schmitz.net/blog/advanced-dhcp-options-pushing-static-routes-to-clients
-
Olá Marcello, eu já havia marcado esta opção porém eu acho que encontrei o problema, quando o pfsense cria estas regras automáticas ele cria no final de todas as regras, consequentemente depois da minha regra que bloqueia toda a comunicação de saída, por isso não está funcionando.
Estou agora tentando criar essas regras manualmente na interface floating para ver se vai resolver o problema, pois estas regras de floatinf ficam logo no começo da lista de regras.
Se isso se confirmar acho que esta opção deveria ser alterada no pfsense, pois faz mais lógica você liberar toda a comunicação entre as redes internas logo no começo das regras não concorda?
Abraços!
-
Olá Marcello, eu fiz a configuração no tabela floating e agora funcionou corretamente!!
