Programa SEF/DF não funciona atrás do pfsense
-
Bom dia.
Estou com este programa instalado em um pc.
Site
Procuração Eletrônica.
http://publica.agencianet.fazenda.df.gov.br/publica/downloads.aspLink para download
http://publica.agencianet.fazenda.df.gov.br/publica/..%5Cdocumentos%5Cprocuracao.exePfsense - Puro - Sem Squid
versão 2.2 - RELEASE (amd64)
WAN - dhcp
LAN - 172.16.0.1 - range 172.16.0.10 - 172.16.0.20
DNS 127.0.0.1 - 192.168.1.1 - 8.8.8.8 - 8.8.4.4Quando o pc está direto, no modem ppoe velox, o programa abre sem erro.
Quando atrás o pfsense, não abre, da a mensagem de:
TEMPO EXPIRADO PARA A CONEXÃO.
Fora esse programa, a rede está funcionando.
-
Verificou a documentacao do programa para ver se nao tem que liberar portas no firewall?
o tcpdump no terminal do pfsense pode ajudar a identiciar se ele usa outras portas -
Boa tarde.
Por isso deixei o link do programa, para quem tiver a possibilidade de fazer teste.
Pelo tcpdump, ele mostra o seguinte:
Sai pelo ip local e porta alta e vai para o ip do servidor (189.9.35.82) portas 20 e 21.
Ele volta com esta mesma regra de cima.Ele não deveria sofre bloqueio, na rede local, porque ele usa porta alta e, não tem nenhuma regra de bloqueio.
O pfsense esta funcionando como um roteador.
Entendo eu, que tanto o nat do modem, que está roteado, quanto do pfsense que está como roteador, deveriam, manter as comunicações.
-
Se a regra padrão de instalação do pfSense estiver ativa deveria estar passando.
Se não estiver, vai ter que fazer um regra liberando trafego com destino para esse IP (189.9.35.82) e para portas 20 e 21.
-
Ola.
Boa tarde.
Já fiz essas regras e, ainda assim, o programa não abre.
Em firewall - Rules, fiz também, assim
wan
tudo que vier de
157.56.100.40
157.56.106.184
134.170.104.48
189.9.35.69
189.9.35.82Todas as porta
Enviar para LAN
E fiz uma rules inversa.
LAN
Tudo que sair da LAN para os ips tais, qualquer porta, permitir.E não foi.
-
O pfsense é um firewall statefull, você não precisa criar regras na WAN para permitir acesso a um site acessado a partir da sua LAN.
Sugiro utilizar o tcpdump para identificar o que a estação pede na internet ao acessar a ferramenta/site.
-
Bom dia.
Segue algumas imagem, anexa de como está a minha configuração.
Usando o tcpdum -i em1 host 172.16.0.10, tenho este resultado, quando abro o programa.
Imagem = https://drive.google.com/file/d/0B7H9Ik2nirHGVTg5b3ZodGlUalk/view?pli=1
Ao abrir o programa recebe esta mensagem e, ao fundo RULES - LAN
Imagem = https://drive.google.com/a/urquiza.com.br/file/d/0B7H9Ik2nirHGVTg5b3ZodGlUalk/view?pli=1
Após abrir o sistema, ao clicar no botão do sistema INICIAR A UTILIZAÇÃO DO APLICATIVO, recebo esta outra imagem, ao fundo RULES - WAN
Imagem = https://drive.google.com/file/d/0B7H9Ik2nirHGa3JJSVFobHdmdVU/view?pli=1
A imagem abaixo mostra o resultado do tcpdump, ao clicar no botão do sistema INICIAR A UTILIZAÇÃO DO APLICATIVO.
Imagem = https://drive.google.com/file/d/0B7H9Ik2nirHGNHB0N1BKYXNid0k/view?pli=1
O pfsense, está instalado, sem nenhum pacote adicional.
Se eu coloco pc no modem - velox - modo roteador / ADSL, o programa funciona.
O firewall do windows está desativado.
Se eu coloco pfsense no meio, recebendo o ip do modem, então o programa não consegue uma comunicação com o servidor.
O que se verificar é que o programa funciona, conectando a um servidor de ftp.
-
O dump mostra trafego dns e ftp.
O protocolo ftp tem suas particularidades.
Não sei qual o seu nível de conhecimento no protocolo, mas aproveito para enviar uma referencia sobre ele
http://balaiotecnologico.blogspot.com.br/2010/07/funcionamento-de-servicos-ftp.htmlPrincipalmente no que demonstra as duas figuras anexas.
-
Marcelo.
Boa noite.
Li sobre o ftp e compreendi a colocação.
No pfsense, como posso controlar a comunicação, que vai e vem do servidor de ftp, para o host que iniciou o contato?
Como explica na matéria, a porta que o servidor oferece ao meu host está se perdendo ou sendo bloqueada.
Como é porta aleatória, não estou vislumbrando uma configuração.
Como percebi, o ip do servidor de ftp, pode alterar.
O endereço de ip do servidor de ftp, eu não sei se é exclusivo, para este servidor pelo Distrito Federal ou se tem mais serviços vinculados a estes ips.
Neste momento o pfsense está instalado, mas, não tem nenhum pacote.
Depois que eu resolver esse problema e que instalarei o squid + dansguard.
Este ambiente que estou é de teste, então posso fazer qualquer coisa nele.
-
Você não controla a porta de origem, controla a porta de destino, o pfSense faz o controle da origem;,
Normalmente o IP do servidor não altera a não ser que seja IP dinamico fornecido pela operadora;
-
Bom dia.
Segue algumas imagem, anexa de como está a minha configuração.
Usando o tcpdum -i em1 host 172.16.0.10, tenho este resultado, quando abro o programa.
Imagem = https://drive.google.com/file/d/0B7H9Ik2nirHGVTg5b3ZodGlUalk/view?pli=1
Ao abrir o programa recebe esta mensagem e, ao fundo RULES - LAN
Imagem = https://drive.google.com/a/urquiza.com.br/file/d/0B7H9Ik2nirHGVTg5b3ZodGlUalk/view?pli=1
Após abrir o sistema, ao clicar no botão do sistema INICIAR A UTILIZAÇÃO DO APLICATIVO, recebo esta outra imagem, ao fundo RULES - WAN
Imagem = https://drive.google.com/file/d/0B7H9Ik2nirHGa3JJSVFobHdmdVU/view?pli=1
A imagem abaixo mostra o resultado do tcpdump, ao clicar no botão do sistema INICIAR A UTILIZAÇÃO DO APLICATIVO.
Imagem = https://drive.google.com/file/d/0B7H9Ik2nirHGNHB0N1BKYXNid0k/view?pli=1
O pfsense, está instalado, sem nenhum pacote adicional.
Se eu coloco pc no modem - velox - modo roteador / ADSL, o programa funciona.
O firewall do windows está desativado.
Se eu coloco pfsense no meio, recebendo o ip do modem, então o programa não consegue uma comunicação com o servidor.
O que se verificar é que o programa funciona, conectando a um servidor de ftp.
Bom dia.
Sua imagem para a tela com as RULES-LAN não esta correta, queria ver como estão suas regras na interface LAN.
Coloca ai os logs do firewall que fica em Status->System logs aba firewall filtrando o ip da lan -
Boa tarde a todos.
Eu, ainda não consegui resolver a conexão do programa citado.
1 -
Quando estou com o modem velox-dsl - roteado e, fornecendo ip direto para os pcs, o programa funciona.2 -
Quando eu coloco o modem velox-dsl - bridge e, uso o pc que está com o programa, para fazer a discagem e conectar na internet conforme imagem abaixo:
https://drive.google.com/file/d/0B7H9Ik2nirHGWVFGNWttVmVwa1k/view?pli=1O programa funciona, abrindo corretamente, conforme imagem:
https://drive.google.com/file/d/0B7H9Ik2nirHGczVibDJybWE0RDg/view?pli=13 -
Agora, mesmo deixando o modem velox-dsl - bridge e, fazendo o pfsense discar, não funciona.Abaixo segue as imagens do pfsense, com uma instalação básica.
-
pfsense - como discador
https://drive.google.com/file/d/0B7H9Ik2nirHGUFBFQUl4ZWRIS00/view?pli=1 -
ao tentar abrir o programa, vem esta primeira mensagem.
https://drive.google.com/file/d/0B7H9Ik2nirHGMlRfd2RiMDlkVGs/view?pli=1 -
se ainda, assim, eu tentar fazer o programa abrir, conforme a imagem, ele continua dizendo que não consegue conexão com o servidor.
https://drive.google.com/file/d/0B7H9Ik2nirHGNVBBLUN6cEd3cHc/view?pli=1 -
segue as imagens da configuração do pfsense.
https://drive.google.com/file/d/0B7H9Ik2nirHGTmtTMWtVb1RJRUE/view?pli=1
https://drive.google.com/file/d/0B7H9Ik2nirHGTjJvT3ZwSHdYZVU/view?pli=1
https://drive.google.com/file/d/0B7H9Ik2nirHGYnZUMEx6anZubGM/view?pli=1
https://drive.google.com/file/d/0B7H9Ik2nirHGNnpxeHJnLXExcU0/view?usp=sharing
- segue as imagens do TCPDUMP, da Wan e depois da Lan.
https://drive.google.com/file/d/0B7H9Ik2nirHGOTdMZlNqVW1LM28/view?pli=1
https://drive.google.com/file/d/0B7H9Ik2nirHGQ2tCaFpoRHNXTG8/view?pli=1
https://drive.google.com/file/d/0B7H9Ik2nirHGZzNyR1hlbEctYW8/view?pli=1
https://drive.google.com/file/d/0B7H9Ik2nirHGOWFaejhhbDlsNHM/view?pli=1
Como se verifica, este programa acessa um servidor ftp, porem, pelo pfsense, algo não está deixando funcionar.
Com o modem roteado funciona.
Com o modem no modo bridge e o Windows discando, funciona.
-
-
Boa tarde.
Fiz três arquivos com tcpdum.
Sendo um arquivo de tudo que chega a WAN.
outro com tudo que chega na LAN.
outro com o que somente chega no HOST, onde está o programa.
-
www.livroeletronicobeta.fazenda.df.gov.br - IP 189.9.35.83
www.livroeletronico.fazenda.df.gov.br - IP 189.9.35.75
ftp.livroeletronicobeta.fazenda.df.gov.br - IP 189.9.35.83
ftp.livroeletronico.fazenda.df.gov.br - IP 189.9.35.75
https://agencianet.fazenda.df.gov.br/validadorlf/WsValidacaoDcoCccr.asmx IP 189.9.35.69Portas que devem estar liberadas : 30002; FTP 20 e 21 e Http porta 80 e 443 .
-
Pelo o que entendi da documentação da sef vai ter que fazer nat.
-
marcosmoya18
Boa tarde.
Obrigado pelo retorno.
Na mensagem, acima, mostrei que o pfsense meu, não tem nenhum bloqueio, aqui, por enquanto o pfsense está exclusivamente como um roteador + discador dsl; como se fosse um modem velox.
A diferença entre o pfsense como roteador + discador e o modem velox (roteador + discador), é que quando o pc está conectado ao modem direto, o programa funciona e quando está conectado ao pfsense o programa não funciona.
Todos o s ip e portas estão liberados, inclusive, pelos logs de ip feito pelo tcpdump, também, anexado a mensagem acima, teoricamente a comunicação não tem nenhum bloqueio.
A porta 30002 ela não aparece em nenhum log, as portas 80 e 443, conforme a configuração acima estão liberadas, a porta 21 é porta de saída, onde o meu host 172.16.0.10 se comunica com o servidor.
O problema é que o servidor retorna com uma porta alta que não está chegando ao programa, pois ela está ficando perdida pelo caminho, então o programa acusa a mensagem de TEMPO EXPIRADO PARA A CONEXÃO.
Com base na configuração acima, do meu pfsense, como colocaria esses ip liberados e portas?
As portas 20, 21 e 30002 seriam as porta que o meu host, vai acessar o servidor ftp da SEF/DF, sendo assim, essas portas estão livres.
- Pode me passar o link ou o arquivo desse documento da SEF que está com você?
Obrigado pela sua atenção.