Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Usar o PFSense como gateway e firewall

    Scheduled Pinned Locked Moved Portuguese
    14 Posts 3 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      OliverHost
      last edited by

      Olá pessoal, eu sou totalmente iniciante em PFSense e estou com diversos problemas quanto ao uso, não sei se é configuração ou se realmente não estou entendendo como ele funciona.

      Vou tentar explicar detalhadamente como é a minha plataforma, assim fica mais fácil para quem for me ajudar.

      Em um servidor dedicado, no qual eu crio servidores virtuais, o mesmo possui 32Gb RAM e 2 processadores, este mesmo servidor possui também 16 IPs (sendo 13 usáveis, 1 gateway, 1 network e 1 broadcast).
      Segue a lógica padrão deste meu bloco de IP

      xxx.xxx.xxx.101 = network
      xxx.xxx.xxx.102 = gateway
      xxx.xxx.xxx.103 ao xxx.xxx.xxx.115 = IPs usáveis
      xxx.xxx.xxx.116 = broadcast

      Atualmente, tanto no NIC do dedicado quanto nos servidores virtuais, eu coloco o IP xxx.xxx.xxx.102 como gateway padrão.

      Então o que pensei: Vou usar o PFSense como gateway/firewall pra tentar criar algumas proteções, usar como bloqueio de IP, etc… (para bloquear alguns ataques).

      Tendo isso em mente, criei um servidor virtual dentro do servidor dedicado (acho que isso não diferencia), coloquei o IP xxx.xxx.xxx.105 como WAN e o IP xxx.xxx.xxx.106 como LAN.

      Lá na máquina virtual, eu configurei tudo normal, com o IP xxx.xxx.xxx.104, porém ao invés de usar o IP xxx.xxx.xxx.102 como gateway, eu coloquei o IP LAN do PFSense como gateway (xxx.xxx.xxx.106).

      Perfeito!!! O servidor virtual funciona a internet normalmente, consigo acessar o google de dentro dela, e tudo certo, a máquina está 100% conectada a internet.

      Porém, quando tento acessar a máquina remotamente de um computador remoto (seja por RDP, ou até mesmo um PING), o IP não responde (de fora pra dentro). O Firewall do servidor virtual está desabilitado, liberando todas as portas.

      Um teste que fiz, foi pingar no IP da máquina virtual (ping xxx.xxx.xxx.104 -t), e depois desabilitar a regra do firewall e nat no PFSense... BINGO, o IP responde no ping, mas ao habilitar o firewall, volta a não responder mais.
      Fiz o que qualquer pessoal faria, fui lá nas regras do firewall e criei regras liberando todos os protocolos, todos os IPs de origem e destino (enfim, tudo liberado no firewall do PFSense)... Mas continua a mesma coisa, o IP do servidor virtual só responde se o firewall do PFSense estiver desabilitado... Nada nesse mundo faz o IP do servidor virtual responder com o firewall do PFSense habilitado.

      Alguém sabe como corrigir isso, o que eu deveria fazer e não estou fazendo?

      Obrigado desde ja!

      1 Reply Last reply Reply Quote 0
      • J
        joaobrn
        last edited by

        Oliver boa tarde,

        Crie regras de Nat para que vc consiga acessar o seu servidor.

        Exemplo:

        1. Conexao Externa via RDP no Servidor X (Considerando que a porta externa que eu quero utilizar para acessar ele seja 3389 tanto externa quanto interna).

        Firewall > NAT > Port Forward > +

        Preencha os campos conforme sua necessidade:

        Interface = WAN

        Protocol = TCP

        Destination Port Range = From : 3389
                                                      To: 3389

        Redirect Target IP = xxx.xxx.xxx.104

        Redirect Target Port = 3389

        Nat Reflection = Enable (NAT + Proxy)

        Filter Rule association = Add associated filter rule

        Clique em SAVE

        depois vai em Apply Changes e faça o teste.

        Até logo

        Atenciosamente,

        João Batista da Rocha Neto
        ROCHA NETO - Consultoria em TI
        Fone: (34) 99943-1030
        Skype: joaobrn.rochanetoconsultoria

        1 Reply Last reply Reply Quote 0
        • O
          OliverHost
          last edited by

          Olá joaobrn, muito obrigado por sua resposta.

          Acabei de tenta fazer como você disse, e sem sucesso  :'(, tentei alterar também, colocando como LAN, e de todas as formas que imaginei que poderia fazer.

          Será que é necessário criar um IP Virtual no PFSense? Ou criar Outbound?

          1 Reply Last reply Reply Quote 0
          • L
            lucaspolli
            last edited by

            complementando a resposta acima, o router de sua rede esta com nat? direcionando o trafego de entrada pro seu pfsense (que é usado como gateway)?

            ex: IP do router + porta RDP -> IP do pfsense + porta RDP

            1 Reply Last reply Reply Quote 0
            • O
              OliverHost
              last edited by

              Locas Polli, eu não entendi muito bem a sua resposta… Complementando o que expliquei na criação do tópico, o servidor dedicado está em um datacenter, e eu não tenho acesso físico a ele.

              Mas enfim, eu acredito que não exista NAT no router da rede, até porque são IPs definidos para o dedicado.

              No caso, para colocar o NAT no router, como eu faço? (realmente há essa necessidade?) tendo em vista que a conexão está funcionando no servidor virtual, e que basta eu desativar o firewall e NAT do PFSense, ele concede acesso total ao servidor virtual.

              Ou seja, o PFSense como bloqueio está funcionando perfeitamente, pois basta eu ativar o firewall que as conexões de entrada são impedidas (mas as de saída, são permitidas).

              Uma coisa interessante que percebi:

              No log do firewall, com ele ligado… Quando tento acessar o servidor virtual pelo RDP, aparece:

              Sendo que o IP 69.162.108.138, é o IP do servidor virtual.

              Eu liberei a porta 3389 no firewall de todas as formas possíveis… Fiz até mais que isso, criei uma regra que permite TODOS os IPs de origem e destino, todas as portas de origem e destino e todos os protocolos (tanto em LAN quanto em WAN).

              Mas o problema continua, se eu desativo o Firewall e NAT, o acesso é permitido.

              Se alguém puder me ajudar pelo skype, eu ficaria muito agradecido.

              1 Reply Last reply Reply Quote 0
              • L
                lucaspolli
                last edited by

                desculpe, nao tinha entendido que vc tem um IP valido no seu pfsense, nesse caso basta NAT conforme o colega joaobrn descreveu, lembrando que o gateway de quem será acessado via RDP deve ser o seu PFsense

                1 Reply Last reply Reply Quote 0
                • O
                  OliverHost
                  last edited by

                  Sim, o Gateway no servidor virtual (69.162.108.138) está o IP LAN do PFSense (69.162.108.141).


                  Edit –
                  Em Status: System logs: Settings, eu habilitei a opção: Filter descriptions, como: display as column.

                  E a regra que bloqueia o tráfego é a regra: Default deny rule IPv4 (@3).

                  Segue a imagem:


                  Edit - -
                  Como faço para mudar a regra default, pra allow?

                  1 Reply Last reply Reply Quote 0
                  • L
                    lucaspolli
                    last edited by

                    como estao as rules da sua WAN? existe alguma com porta RDP? se possivel coloque um print delas..

                    Se vc esta acessando de fora pra dentro (Wan para Lan) precisa do nat
                    Se vc esta acessando de dentro pra fora (Lan para Wan) basta liberar o ip destino na porta RDP (isso na aba LAN do firewall)

                    1 Reply Last reply Reply Quote 0
                    • O
                      OliverHost
                      last edited by

                      Lucas, eu consegui fazer da seguinte forma.

                      WAN no PFSense com IP Público
                      LAN no PFSense com IP Privado.

                      Servidor no qual possuo Windows, com IP Privado.

                      Peguei o IP público que era do servidor windows, e coloquei como IP Virtual no WAN do PFSense e criei uma regra NAT para encaminhar as portas para o IP Privado do servidor windows.

                      Isso deu certo e funcionou perfeitamente.

                      Agora vem a dúvida, posso colocar o IP Público (69.162.108.141) diretamente na interface de rede do servidor Windows e criar regras de filtragem no firewall do PFSense para esse IP? (sem que o IP 69.162.108.141 seja configurado como IP Virtual no PFSense).

                      Respondendo a sua pergunta sobre as regras no firewall WAN..

                      Sim, todas as portas estão liberadas no firewall, tanto WAN quanto LAN, para todos os IPs e protocolos.

                      1 Reply Last reply Reply Quote 0
                      • L
                        lucaspolli
                        last edited by

                        acredito que nao, pois se vc colocar o ip publico na interface do windows, consequentemente ele estará aberto a internet, como a direcao é inversa, ou seja, primeiro windows depois pfsense, creio que vc nao tera como controlar os acessos ao windows (a nao ser pelo proprio firewall do windows o que nao recomendo), o publico deve estar no pfsense, ou definir a NIC do windows para somente "rotear" para a virtual, assim a NIC do windows nao receberia um IP

                        1 Reply Last reply Reply Quote 0
                        • O
                          OliverHost
                          last edited by

                          Mas Lucas, mas então porque quando o firewall do PFSense está ligado, mesmo o windows usando o IP Público, ele não fica disponível pra acesso externo? Somente se eu desabilitar o firewall do PFsense.

                          Lembrando que no Servidor Windows, eu uso o PFSense como gateway (o IP LAN do PFSense fica como gateway no servidor windows).

                          1 Reply Last reply Reply Quote 0
                          • L
                            lucaspolli
                            last edited by

                            tecnicamente creio ser possivel, mais fica uma configuracao meio "confusa" a conexao entraria pelo windows iria para o pf e voltaria para o windows, e de qualquer forma vc ainda teria o windows com ip publico, mesmo com o gateway possibilitando as regras de bloqueio ele estaria "fisicamente" aberto na internet, nao sei qual software de virtualizacao vc esta usando e nem quantas NICs vc tem nesse server, eu removeria o compartilhamento da NIC publica com o windows e deixaria ela exclusiva para o pf

                            1 Reply Last reply Reply Quote 0
                            • O
                              OliverHost
                              last edited by

                              Lucas, eu tive uma ideia boa, porém confusa.

                              É possível configurar um IP público em uma rede local (como IP Privado)… correto?

                              Então vamos fazer o seguinte:

                              Criar um IP Virtual no PFSense para WAN (IP público): 69.162.108.138

                              No windows, vou colocar o NIC privado... E colocar no windows o IP 69.162.108.138 (como IP Local, e não público, isso no NIC Privado).

                              Posso colocar então um NAT no PFSense para encaminhar o tráfego de entrada do IP WAN 69.162.108.138 para o IP privado 69.162.108.138?

                              1 Reply Last reply Reply Quote 0
                              • J
                                joaobrn
                                last edited by

                                Boa noite Anselmo, naquele dia que você me ligou, um dos problemas que estava acontecendo era justamente este de vc colocar ip publico na interface do windows e colocar o msm ip na vlan do pfsense, vai dar conflito de ip e um dos dois vao parar de funcionar pois, não eh possivel vc
                                Usar o msm ip para dois hosts diferente.

                                Atenciosamente,

                                João Batista da Rocha Neto
                                ROCHA NETO - Consultoria em TI
                                Fone: (34) 99943-1030
                                Skype: joaobrn.rochanetoconsultoria

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.