Usar o PFSense como gateway e firewall



  • Olá pessoal, eu sou totalmente iniciante em PFSense e estou com diversos problemas quanto ao uso, não sei se é configuração ou se realmente não estou entendendo como ele funciona.

    Vou tentar explicar detalhadamente como é a minha plataforma, assim fica mais fácil para quem for me ajudar.

    Em um servidor dedicado, no qual eu crio servidores virtuais, o mesmo possui 32Gb RAM e 2 processadores, este mesmo servidor possui também 16 IPs (sendo 13 usáveis, 1 gateway, 1 network e 1 broadcast).
    Segue a lógica padrão deste meu bloco de IP

    xxx.xxx.xxx.101 = network
    xxx.xxx.xxx.102 = gateway
    xxx.xxx.xxx.103 ao xxx.xxx.xxx.115 = IPs usáveis
    xxx.xxx.xxx.116 = broadcast

    Atualmente, tanto no NIC do dedicado quanto nos servidores virtuais, eu coloco o IP xxx.xxx.xxx.102 como gateway padrão.

    Então o que pensei: Vou usar o PFSense como gateway/firewall pra tentar criar algumas proteções, usar como bloqueio de IP, etc… (para bloquear alguns ataques).

    Tendo isso em mente, criei um servidor virtual dentro do servidor dedicado (acho que isso não diferencia), coloquei o IP xxx.xxx.xxx.105 como WAN e o IP xxx.xxx.xxx.106 como LAN.

    Lá na máquina virtual, eu configurei tudo normal, com o IP xxx.xxx.xxx.104, porém ao invés de usar o IP xxx.xxx.xxx.102 como gateway, eu coloquei o IP LAN do PFSense como gateway (xxx.xxx.xxx.106).

    Perfeito!!! O servidor virtual funciona a internet normalmente, consigo acessar o google de dentro dela, e tudo certo, a máquina está 100% conectada a internet.

    Porém, quando tento acessar a máquina remotamente de um computador remoto (seja por RDP, ou até mesmo um PING), o IP não responde (de fora pra dentro). O Firewall do servidor virtual está desabilitado, liberando todas as portas.

    Um teste que fiz, foi pingar no IP da máquina virtual (ping xxx.xxx.xxx.104 -t), e depois desabilitar a regra do firewall e nat no PFSense... BINGO, o IP responde no ping, mas ao habilitar o firewall, volta a não responder mais.
    Fiz o que qualquer pessoal faria, fui lá nas regras do firewall e criei regras liberando todos os protocolos, todos os IPs de origem e destino (enfim, tudo liberado no firewall do PFSense)... Mas continua a mesma coisa, o IP do servidor virtual só responde se o firewall do PFSense estiver desabilitado... Nada nesse mundo faz o IP do servidor virtual responder com o firewall do PFSense habilitado.

    Alguém sabe como corrigir isso, o que eu deveria fazer e não estou fazendo?

    Obrigado desde ja!



  • Oliver boa tarde,

    Crie regras de Nat para que vc consiga acessar o seu servidor.

    Exemplo:

    1. Conexao Externa via RDP no Servidor X (Considerando que a porta externa que eu quero utilizar para acessar ele seja 3389 tanto externa quanto interna).

    Firewall > NAT > Port Forward > +

    Preencha os campos conforme sua necessidade:

    Interface = WAN

    Protocol = TCP

    Destination Port Range = From : 3389
                                                  To: 3389

    Redirect Target IP = xxx.xxx.xxx.104

    Redirect Target Port = 3389

    Nat Reflection = Enable (NAT + Proxy)

    Filter Rule association = Add associated filter rule

    Clique em SAVE

    depois vai em Apply Changes e faça o teste.

    Até logo



  • Olá joaobrn, muito obrigado por sua resposta.

    Acabei de tenta fazer como você disse, e sem sucesso  :'(, tentei alterar também, colocando como LAN, e de todas as formas que imaginei que poderia fazer.

    Será que é necessário criar um IP Virtual no PFSense? Ou criar Outbound?



  • complementando a resposta acima, o router de sua rede esta com nat? direcionando o trafego de entrada pro seu pfsense (que é usado como gateway)?

    ex: IP do router + porta RDP -> IP do pfsense + porta RDP



  • Locas Polli, eu não entendi muito bem a sua resposta… Complementando o que expliquei na criação do tópico, o servidor dedicado está em um datacenter, e eu não tenho acesso físico a ele.

    Mas enfim, eu acredito que não exista NAT no router da rede, até porque são IPs definidos para o dedicado.

    No caso, para colocar o NAT no router, como eu faço? (realmente há essa necessidade?) tendo em vista que a conexão está funcionando no servidor virtual, e que basta eu desativar o firewall e NAT do PFSense, ele concede acesso total ao servidor virtual.

    Ou seja, o PFSense como bloqueio está funcionando perfeitamente, pois basta eu ativar o firewall que as conexões de entrada são impedidas (mas as de saída, são permitidas).

    Uma coisa interessante que percebi:

    No log do firewall, com ele ligado… Quando tento acessar o servidor virtual pelo RDP, aparece:

    Sendo que o IP 69.162.108.138, é o IP do servidor virtual.

    Eu liberei a porta 3389 no firewall de todas as formas possíveis… Fiz até mais que isso, criei uma regra que permite TODOS os IPs de origem e destino, todas as portas de origem e destino e todos os protocolos (tanto em LAN quanto em WAN).

    Mas o problema continua, se eu desativo o Firewall e NAT, o acesso é permitido.

    Se alguém puder me ajudar pelo skype, eu ficaria muito agradecido.



  • desculpe, nao tinha entendido que vc tem um IP valido no seu pfsense, nesse caso basta NAT conforme o colega joaobrn descreveu, lembrando que o gateway de quem será acessado via RDP deve ser o seu PFsense



  • Sim, o Gateway no servidor virtual (69.162.108.138) está o IP LAN do PFSense (69.162.108.141).


    Edit –
    Em Status: System logs: Settings, eu habilitei a opção: Filter descriptions, como: display as column.

    E a regra que bloqueia o tráfego é a regra: Default deny rule IPv4 (@3).

    Segue a imagem:


    Edit - -
    Como faço para mudar a regra default, pra allow?



  • como estao as rules da sua WAN? existe alguma com porta RDP? se possivel coloque um print delas..

    Se vc esta acessando de fora pra dentro (Wan para Lan) precisa do nat
    Se vc esta acessando de dentro pra fora (Lan para Wan) basta liberar o ip destino na porta RDP (isso na aba LAN do firewall)



  • Lucas, eu consegui fazer da seguinte forma.

    WAN no PFSense com IP Público
    LAN no PFSense com IP Privado.

    Servidor no qual possuo Windows, com IP Privado.

    Peguei o IP público que era do servidor windows, e coloquei como IP Virtual no WAN do PFSense e criei uma regra NAT para encaminhar as portas para o IP Privado do servidor windows.

    Isso deu certo e funcionou perfeitamente.

    Agora vem a dúvida, posso colocar o IP Público (69.162.108.141) diretamente na interface de rede do servidor Windows e criar regras de filtragem no firewall do PFSense para esse IP? (sem que o IP 69.162.108.141 seja configurado como IP Virtual no PFSense).

    Respondendo a sua pergunta sobre as regras no firewall WAN..

    Sim, todas as portas estão liberadas no firewall, tanto WAN quanto LAN, para todos os IPs e protocolos.



  • acredito que nao, pois se vc colocar o ip publico na interface do windows, consequentemente ele estará aberto a internet, como a direcao é inversa, ou seja, primeiro windows depois pfsense, creio que vc nao tera como controlar os acessos ao windows (a nao ser pelo proprio firewall do windows o que nao recomendo), o publico deve estar no pfsense, ou definir a NIC do windows para somente "rotear" para a virtual, assim a NIC do windows nao receberia um IP



  • Mas Lucas, mas então porque quando o firewall do PFSense está ligado, mesmo o windows usando o IP Público, ele não fica disponível pra acesso externo? Somente se eu desabilitar o firewall do PFsense.

    Lembrando que no Servidor Windows, eu uso o PFSense como gateway (o IP LAN do PFSense fica como gateway no servidor windows).



  • tecnicamente creio ser possivel, mais fica uma configuracao meio "confusa" a conexao entraria pelo windows iria para o pf e voltaria para o windows, e de qualquer forma vc ainda teria o windows com ip publico, mesmo com o gateway possibilitando as regras de bloqueio ele estaria "fisicamente" aberto na internet, nao sei qual software de virtualizacao vc esta usando e nem quantas NICs vc tem nesse server, eu removeria o compartilhamento da NIC publica com o windows e deixaria ela exclusiva para o pf



  • Lucas, eu tive uma ideia boa, porém confusa.

    É possível configurar um IP público em uma rede local (como IP Privado)… correto?

    Então vamos fazer o seguinte:

    Criar um IP Virtual no PFSense para WAN (IP público): 69.162.108.138

    No windows, vou colocar o NIC privado... E colocar no windows o IP 69.162.108.138 (como IP Local, e não público, isso no NIC Privado).

    Posso colocar então um NAT no PFSense para encaminhar o tráfego de entrada do IP WAN 69.162.108.138 para o IP privado 69.162.108.138?



  • Boa noite Anselmo, naquele dia que você me ligou, um dos problemas que estava acontecendo era justamente este de vc colocar ip publico na interface do windows e colocar o msm ip na vlan do pfsense, vai dar conflito de ip e um dos dois vao parar de funcionar pois, não eh possivel vc
    Usar o msm ip para dois hosts diferente.


Log in to reply