Regra de saída.



  • Fala pessoal, tudo bem???

    Primeiramente, quero dizer q estou gostando pra caramba do PF, trabalhava com Sonicwall, solução que gosto muito, mas aprendi a gostar bastante do PF e vou disseminar o que eu puder!! rsrsrsrsrs…
    Essas minhas duas dúvidas eu já procurei demais tanto no fórum, quando na web e não consegui achar!

    Tenho o seguinte cenário:
    2 Wans;
    1 Lan;
    Failover de links;
    Squid (transparente);
    Squidguard;
    Sarg;

    Problema 1
    Todo meu tráfego está saindo pela minhaWAN1 e gostaria de indicar um host (por exemplo 192.168.0.100), para sempre sair pela WAN2.

    Tenho regras de NAT para acesso externos às minhas câmeras e estão OK;
    Tenho uma regra de firewall em Floating para o failover de links (está dando problemas quando entra no failover);
    Já tentei criar uma regra no firewall, tanto na LAN quanto em floating, mas não rola;
    Fiz o by-pass no proxyserver, funciona o by-pass, mas não funciona a regra de saída feita no firewall.

    Alguma sugestão?

    Problema 2
    Tenho o failover de links, que segui do link http://pauloxmachado.blogspot.com.br/2012/07/failover-no-pfsense-200.html;
    WAN1 é o principal (dedicado com IP fixo) e o WAN2 é o secundário (DSL com IP dinâmico);
    Única coisa que fiz diferente do tuto é colocar os protocolos TCP/UDP ou invés de só TCP;
    Estava funcionando certinho, mas agora, não sei o por que, quando comuta para o segundo link, não consigo acesso à web.
    Pelo PF, consigo pingar pela WAN2, mas não consigo pela LAN a comutação funciona direitinho, mas não tenho acesso à web.
    Não sei se tem haver com o proxy ou se é alguma coisa de DNS.
    No PF está apontado os DNS 8.8.8.8 e 8.8.4.4 e a opção Allow DNS server list to be overridden by DHCP/PPP on WAN está desmarcada.

    O que pode ser?



  • Para failover, o caminho mais fácil é marcar a opção allow default gateway switch em system -> advanced.

    As regras que configuramos na interface grafica levam em consideração a interface de entrada. Como o tráfego do squid sai da própria máquina, dificulta bastante balancear o trafego dele.



  • Segue link relacionado do Ivanildo Galvão:

    http://www.ivanildogalvao.com.br/seguranca/pfsense_trafego

    Att …



  • @marcelloc:

    Para failover, o caminho mais fácil é marcar a opção allow default gateway switch em system -> advanced.

    As regras que configuramos na interface grafica levam em consideração a interface de entrada. Como o tráfego do squid sai da própria máquina, dificulta bastante balancear o trafego dele.

    Fala Marcelloc, tudo bem?
    Já está marcada esta opção. só não marquei a opção "Use Stick connections", pois não estou usando balanceamento.
    Desculpe, mas não entendi a questão sobre a regra e do tráfego que você disse, poderia me explicar?



  • @eumesmoluiz:

    Segue link relacionado do Ivanildo Galvão:

    http://www.ivanildogalvao.com.br/seguranca/pfsense_trafego

    Att …

    E aí Luiz, tudo bem?
    Cara eu já fiz esse procedimento, e não funcionou.
    O tráfego da minha máquina, por exemplo, não sai pela WAN2 nem a pau!

    Se tiverem mais alguma sugestão eu agradeço!!!



  • Só para alimentar o post, estou fazendo outros testes aqui na regra de saída e acredito que possa ser o mesmo problema que envolve o failover.

    Fiz o bypass do IP que quero direcionar para a WAN2 do proxy. Agora ele consegue comunicação ICMP, por exemplo, mas não consegue navegação (HTTP).
    Detalhe, na regra do firewall deixei selecionado os protocolos TCP/UDP, para não ter problemas de bloqueio com protocolos específicos.
    O estranho é que o tracert, diz que a saída está pela WAN1.
    Este comportamento acontece quando desconecto o cabo da WAN1 do PF para testar o failover.

    Alguma luz???  :o



  • Opa boa noite, estou com esse mesmo problema para redirecionar uma algumas máquinas para sair por outro gateway especifico e nao rola.

    alguem pode ajudar?



  • Pessoal, tudo bem???

    Fiz outro teste hoje pela manhã, testei o failover e diagnostiquei o seguinte. Quando minha WAN1 fica down, pelo PF eu consigo fazer tracert para www.google.com.br, por exemplo, tanto pela interface WAN2, quanto pela LAN, porém, pela minha máquina (host da LAN), não consigo nem pingar.
    Parece que não consegue enxergar o gateway da WAN2 ou que não consegue resolver o DNS.

    Alguém tem algum norte???  :o Tá osso!!!!



  • Galera, mais uma atualização dos testes que estou fazendo!!!

    Corrigindo uma informação, mesmo pelo PF eu não consigo sair pela WAN2. Qdo faço um tracert pela WAN2, ele não sai por ela, ele sai pela WAN1.
    Pelo que estou entendendo, com o failover aplicado, ele não navega pela WAN2.

    Alguém aí com uma luz????  :'( :-\ :'( :-\



  • @fabio.rodrigo:

    Desculpe, mas não entendi a questão sobre a regra e do tráfego que você disse, poderia me explicar?

    As regras que configuramos na interface gráfica levam em consideração a interface onde o trafego começa.
    Em uma comunicação normal de estações de trabalho, o trafego começa pela lan e vai até a internet. Nessa situação. sua regra vai funcionar perfeitamente.
    Quanto utilizamos o proxy na mesma máquina do firewall, as requisições do cliente vem da lan mas ficam no proprio squid, que inicia uma segunda comunicação para baixar a página solicitada. Nessa segunda comunicação, as regras de floating ou as regras da lan não conseguem capturar esse trafego para aplicar um gateway diferente ou balanceamento, resultando no comportamento que você descreve. O squid só sai pelo gateway padrão.

    Se quiser se aprofundar mais na questão, recomendo assistir uma aula no sys-squad que gravei falando só sobre isso e de quebra algumas opções de configuração do squid para contornar esse problema.