Algumas regras de firewall não funcionam após upgrade 2.1.5 para o 2.2.5



  • Olá pessoal, gostaria de uma ajuda de vocês se possível.

    Tenho um ambiente com 2 pfsenses utilizando CARP, eles estavam na versão 2.1.5 e achamos que estava na hora de realizar o update para a versão mais nova. Eu fiz o backup manual dos dois servidores, e fui começar o update pelo servidor secundário. Formatei o secundário, instalei a versão nova, e subi o Backup, aparentemente tudo ok, porém percebi que algumas regras de firewall parece que não estavam funcionando para o secundário.

    Neste momento estou com meu primário na versão 2.1.5 e o secundário na versão 2.2.5, eles estão se comunicando, o pfsync está ocorrendo, conferi todas as regras de firewall, estão iguais, verifiquei todos os alias, estão iguais. Fazendo um teste de ping, percebi nos logs de firewall que o primário aceita o ICMP por uma regra, essa mesma regra existe no secundário, mas quando faço um ping no secundário ele bloqueia o tráfego e apresenta "o motivo" do porque ele está bloqueando o tráfego:

    @71(1000004720) block drop in log on ! lagg1 inet from 10.10.0.0/16 to any

    Se eu clico na opção do System Logs de Firewall que ele deixa passar a regra, ele adiciona esta regra numa outra tabela de Firewall diferente do servidor primário.

    Volto a ressaltar que todas as regras estão iguais. Gostaria de saber se existe algum bug no update dessas versões ou se eu estou esquecendo de fazer algo.

    Se alguém puder me ajudar eu agradeço muito.



  • sempre tive problemas utilizando CARP com versões de pfsense diferente, lhe aconselho a deixar os dois com a mesma versão.



  • A idéia é fazer o upgrade nos dois servidores, mas como o secundário começou a apresentar problema com algumas regras de firewall, estou esperando um pouco para fazer o upgrade do primário.

    Por isso questionei se alguém fez algum upgrade e houve erros relacionados as regras de firewall, estou pensando em refazer o secundário, e ao invés de subir o backup de uma vez acho que vou subir, serviço por serviço, será que desta forma é melhor?



  • Melhor deixar os dois na mesma versão.



  • Recomendo sempre o upgrade sem os pacotes e sempre olhar por erros de inicialização durante o boot. Dependendo do erro do pacote, o pfsense não carrega rotas e/ou regras.



  • Olá Marcelo, quando você diz upgrade sem os pacotes seria instalar a versão mais nova do pfsense e subir o arquivo do backup direto? Sem instalar os pacotes do servidor antigo?

    Eu fiz dessa forma, e fiz o restore ALL do xml.
    Essa seria a melhor forma, ou fazer o restore de um serviço por vez?



  • Sugeri remover os pacotes, atualizar, depois instalar os pacotes.


Log in to reply