Acesso a sistema externo não funciona e uma dúvida.



  • Boa tarde a todos.
    Tenho um pfsense 2.2.2 na borda e estou com 1(uma) dúvida e 1(uma) dificuldade.

    Dúvida: No dashboard tenho um widget do "Gateways", que está apesentando o seguinte:

    RTT = 44,9ms
    Loss = 30%
    Status = Packetloss

    Isso é normal ou tem algo errado?

    Dificuldade: Não consigo acessar um sistema que está hospedado em outro local.

    Rede Lan = 192.168.0.1

    Tenho proxy squid3 marcado manualmente com bloqueios de webmails e alguns sites.

    Em firewall rules, tenho regras liberando portas padrões e criei duas regras. Uma regra liberando a porta 1421 e a outra liberando o ip do servidor externo que preciso acessar.

    Criei a liberação da porta da seguinte forma:

    Proto: tcp
    Source: any
    Port: any
    Destination: any
    Port: 1421

    Liberação do ip do servidor externo:

    Proto: tcp
    Source: any
    Port: any
    Destination: 186.xxx.xxx.xxx/29
    Port: 1421

    Após criar e aplicar a regra, executo o aplicativo do sistema que está hospedado em um servidor externo e ele apresenta a mensagem e acesso negado.

    Só que nesse aplicativo, não achei opção de configurar um proxy.

    Essas regras que eu criei para liberar o ip e a porta do servidor externo, estão certas?

    Pelo que vi no squid, a opção de Bypass só fica habilitado se for no modo transparente. Mas esse modo não me serve.

    Se a solução for fazer NAT, gostaria da ajuda de alguém.

    Desde já, obrigado pela atenção de todos.



  • @Edgleyson:

    Dúvida: No dashboard tenho um widget do "Gateways", que está apesentando o seguinte:

    RTT = 44,9ms
    Loss = 30%
    Status = Packetloss

    Isso é normal ou tem algo errado?

    Isso não é normal não. 30% de perda de pacote é muita coisa. Sua operadora ta te sacaneando.. rsrsrs

    Da uma olhada no meu:

    Sobre a sua dúvida, consegue ver nos logs se quem ta barrando o acesso é o squid, ou as regras de firewall?



  • Caro andr3.ribeiro!

    Eu estava pensando que realmente tinha algo errado.

    Será que é realmente problema na conexão ou o apinger está inflenciando, pois vi em alguns sites estrangeiros as percas de pacotes relacionado ao apinger. Confere esses log´s:

    Nov 24 06:32:59 apinger: ALARM: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 06:35:57 apinger: alarm canceled: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 06:37:21 apinger: ALARM: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 06:53:30 apinger: alarm canceled: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 06:54:22 apinger: ALARM: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 07:37:44 apinger: alarm canceled: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 07:38:53 apinger: ALARM: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 07:42:09 apinger: alarm canceled: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 07:43:27 apinger: ALARM: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 08:04:16 apinger: alarm canceled: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 08:05:06 apinger: ALARM: WirelinkGW(8.8.4.4) *** loss ***
    Nov 24 09:22:11 apinger: Exiting on signal 15.
    Nov 24 09:22:12 apinger: Starting Alarm Pinger, apinger(3498)
    Nov 24 09:23:22 apinger: ALARM: WirelinkGW(8.8.4.4) *** loss ***

    A respeito dos log´s , vou em status e depois em system log´s, mas só consigo ver a aba sobre firewall e lá não mostrar nada se está barrando ou não essa conexão.

    Não vejo onde localizar os log´s do squid.

    Obrigado pela ajuda.



  • Tenta trocar seu IP de monitoramento. Pelo que vi, vc usa o do Google Public DNS
    Eu moro no Sudeste, e uso o Endereço do ICANN (199.7.83.42), situado em São José dos Campos - SP (segundo: http://root-servers.org/), meus pings ficam com tempo menor que 20 ms.



  • O problema era esse mesmo.
    Alterei para o ip do ICANN e não estou mais perdendo pacote e o ping fica em torno de 2.9ms.
    O curioso é que pelo site que voce me passou, o ICANN está sendo localizado em Fortaleza - Ce.

    Obrigado andr3.ribeiro .

    Agora só falta eu resolver o problema da conexão externa.

    Alguém com mais experiëncia do que eu, se habilita a dar uma ajuda?



  • Vamos agora ao seu problema do acesso

    Onde sua regra do servidor está na tabela?
    Tem como VC postar um print da tabela e do cadastro da regra?
    Quando preciso de coisas assim, coloco ela antes da regra de bloqueio de porta (80, 443) do squid.



  • Segue o print das regras.

    Como se observa, praticamente não tem nada impedindo.

    Esse ip 186.202.166.227 e a porta 1421, são do servidor que preciso acessar.

    A porta 1421 está liberada na regra que tem "portas tcp"

    Fora esses bloqueios do firewall, o restante é de sites no squid.

    O que acha que pode ser?

    Obrigado.




  • @Edgleyson:

    Segue o print das regras.

    Como se observa, praticamente não tem nada impedindo.

    Esse ip 186.202.166.227 e a porta 1421, são do servidor que preciso acessar.

    A porta 1421 está liberada na regra que tem "portas tcp"

    Fora esses bloqueios do firewall, o restante é de sites no squid.

    O que acha que pode ser?

    Obrigado.

    Eu testei por aqui o IP e Porta pelo NMAP e as portas abertas são a 3389(MS RDP) e a 6000, ambas TCP. Então pode ser um problema no servidor.



  • Caro LFCavalcanti!

    No servidor deles, creio que não seja, pois tenho outra rede que está se conectando normalmente com esse servidor.

    A diferença entre essas minhas duas redes, é que em uma, uso o proxy transparente e funciona normal o acesso e na outro, uso o proxy marcado.

    E justamente nessa ultima, que não está se conectando.

    Fiz um teste aqui.

    Usando a opção "ping" que tem em diagnostics do pfsense, consigo pingar normalmente no IP citado, mas, tentando de uma estação dentro da lan, não consigo pingar.

    Ou seja, do pfsense pingo normal, mas depois do pfsense, nada.

    Lembrando: Pfsense na borda.



  • Boa noite Edgleyson

    Verifique com a empresa se o firewall deles existe uma regra onde libera somente o trafego da sua outra rede e, caso esteja desta forma, passe o ip da sua rede atual e solicite para que eles liberem o trafego dela para a rede deles.


Log in to reply