Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    ¿Qué tengo en el Firewall que me peta todo?

    Español
    3
    11
    1155
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cbd last edited by

      Y otra más para la lista, pero esta es curiosa.
      Teniendo el Firewall activado, el cliente de mi LAN no puede navegar, pero si puede hacer ping a las IP que quiera.
      Cuando se trata de poner una URL no la resuelve (DNS) y cuando pongo la misma IP que me hace ping en el terminal, en le navegador, tampoco funciona.
      Bien, todo esto, tenido el firewall así
      WAN

      LAN

      PuertosBasicos es un alias de los puertos 443,80,22 PFSense_LAN es la IP de la interfaz LAN y PFSense_WAN la de la WAN

      he mezclado 20 mil reglas y tutoriales para intentar solucionarlo, como este: http://mjesussuarez.blogspot.com.es/2014/02/firewall-de-pfsense-reglas-de-filtro-13.html (sus tres partes, obviando el DMZ) pero no hay manera.

      Lo más curioso de todo es que ese firewall impide que el propio PFSense resuelva DNS, y no puede acceder a la lista de paquetes disponibles (tampoco responde al DNS lookup, probado con 8.8.8.8 y 8.8.4.4).

      Si voy a "Advanced/Nat Firewall" y deshabilito el filtrado de paquetes por el Firewall, de nuevo PFSense consigue resolver DNS (nada de que puedan hacerlo los clientes de la LAN, pero bueno…)

      Con la configuración de las fotos, que se supone que hace posible que naveguen los clientes, no hago ni ping a la interfaz LAN desde un cliente conectado directamente a ella, pero si puedo acceder al WebGUI que está en esa misma IP de la LAN a través de un puerto especifico, no entiendo nada.
      Tengo todos los servicios parados, pero aun así no funciona...

      No paro de tocar y tocar y de dejarme 10 horas diarias y solo me salen problemas.

      1 Reply Last reply Reply Quote 0
      • periko
        periko last edited by

        Recomendacion 1.

        Si ya estas hecho volas y estas probando todo, pones todo de fabrica y arrancas de nuevo.

        Observaciones.

        Antes de meter equipos a trabajar, ya configurado el sistema, dnscache el que gustes, confirmas que pfsense pueda hacer consultas a los dns externos, el lo primero que tienes  que confirmar antes de dar acceso.
        Si esto funciona ahora si los clientes, si el entrega las IP via dhcp, el es el gw+dns para tus clientes al menos que tu dns lo maneje otro sistema en tu red.

        No pongas reglas, dejas las de fabrica ya que esa te permite salir a donde gustes, 1ro aprende como funcionan las reglas luego te haces pelotas, por que?

        Tienes una regla que permite ir a los equipos de tu LAN a los puertos basicos: 80/443 etc, pero solo pueden tocar el ip que tiene el equipo llamado Pfsense_LAN, o sea en realidad nunca salen de tu red, saludos.

        1 Reply Last reply Reply Quote 0
        • C
          cbd last edited by

          @periko:

          Recomendacion 1.

          Si ya estas hecho volas y estas probando todo, pones todo de fabrica y arrancas de nuevo.

          Observaciones.

          Antes de meter equipos a trabajar, ya configurado el sistema, dnscache el que gustes, confirmas que pfsense pueda hacer consultas a los dns externos, el lo primero que tienes  que confirmar antes de dar acceso.
          Si esto funciona ahora si los clientes, si el entrega las IP via dhcp, el es el gw+dns para tus clientes al menos que tu dns lo maneje otro sistema en tu red.

          No pongas reglas, dejas las de fabrica ya que esa te permite salir a donde gustes, 1ro aprende como funcionan las reglas luego te haces pelotas, por que?

          Tienes una regla que permite ir a los equipos de tu LAN a los puertos basicos: 80/443 etc, pero solo pueden tocar el ip que tiene el equipo llamado Pfsense_LAN, o sea en realidad nunca salen de tu red, saludos.

          Lo curioso es que lo resetee de fabrica, configuré muy poco y volvió a lo mismo.
          Puff es que es mucho trabajo metido, están hechas las configuraciones de un montón de cosas, pero claro, si no me funciona es tontería.
          Lo de las reglas, si que tengo mucho lío, pero esas en concreto son las que dice el tutorial, de ahí que no entendiera nada.
          Probaré hoy a resetear a ver.
          Gracias

          1 Reply Last reply Reply Quote 0
          • ptt
            ptt Rebel Alliance last edited by

            @cbd:

            Lo curioso es que lo resetee de fabrica, configuré muy poco y volvió a lo mismo.

            Lo de las reglas, si que tengo mucho lío, pero esas en concreto son las que dice el tutorial, de ahí que no entendiera nada.

            Con "esas" reglas en LAN, NO "sales" a internet… (solo permites el acceso a la LAN)

            De que "tutorial" estas hablando ???

            Revisa/lee acerca del tema, en la Documentación Oficial:

            https://doc.pfsense.org/index.php/Firewall_Rule_Basics

            https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

            https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

            https://doc.pfsense.org/index.php/Example_basic_configuration

            1 Reply Last reply Reply Quote 0
            • C
              cbd last edited by

              @ptt:

              @cbd:

              Lo curioso es que lo resetee de fabrica, configuré muy poco y volvió a lo mismo.

              Lo de las reglas, si que tengo mucho lío, pero esas en concreto son las que dice el tutorial, de ahí que no entendiera nada.

              Con "esas" reglas en LAN, NO "sales" a internet… (solo permites el acceso a la LAN)

              De que "tutorial" estas hablando ???

              Revisa/lee acerca del tema, en la Documentación Oficial:

              https://doc.pfsense.org/index.php/Firewall_Rule_Basics

              https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

              https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

              https://doc.pfsense.org/index.php/Example_basic_configuration

              Gracias!
              El tutorial ultimo que seguí está en un enlace en el primer post.
              Pero me pasa que estoy flipando ya.

              He resetado PFSense (opción 4 desde linea de comandos) y sin tocar nada más que la IP de la WAN (tiene una del mismo rango que el router al que está conectado la WAN) y la IP de la LAN (a la que accedo perfectamente) ya no resuelve DNS la maquina, puedo hacer ping a cualquier IP publica desde la LAN o desde el PFSense pero no resuelve nombres, no entiendo nada de nada.

              El router tiene abiertos los puertos 53 para la IP de la WAN de PFSense, la WAN tiene como getway la IP del router.
              He probado a que la WAN sea por DHCP y le da igual.

              1 Reply Last reply Reply Quote 0
              • ptt
                ptt Rebel Alliance last edited by

                Por Favor, adjunta un Diagrama/Esquema "detallado" (incluyendo IP's) de tu red, y capturas de pantalla del "dashboard"  y de las Reglas de FW (como las tienes actualmente) del pfSense.

                1 Reply Last reply Reply Quote 0
                • periko
                  periko last edited by

                  Y agrega que mas equipos hay antes del pfsense, ya que mencionas router con el puerto abierto  :-\…me dio miedo... :o

                  1 Reply Last reply Reply Quote 0
                  • C
                    cbd last edited by

                    @ptt:

                    Por Favor, adjunta un Diagrama/Esquema "detallado" (incluyendo IP's) de tu red, y capturas de pantalla del "dashboard"  y de las Reglas de FW (como las tienes actualmente) del pfSense.

                    No tengo reglas, literalmente no tengo, esta tal cual con valores de fabrica (las reglas automáticas que pone son las únicas que hay)

                    Aquí está, he intentado poner los máximos detalles que se me ocurrían.

                    @periko:

                    Y agrega que mas equipos hay antes del pfsense, ya que mencionas router con el puerto abierto  :-\…me dio miedo... :o

                    Bueno, en el router ya he ido a lo burro y he puesto el DMZ, así que problemas de puertos no es.Fi
                    Y como curiosidad, el cliente tiene Wi-Fi, si me conecto al Router directamente con Wi-Fi no puedo acceder al WebGUI de la LAN (192.168.2.1), si conecto el cable ethernet pero sigo conectado por Wi-Fi sí puedo (además cuando navego por Wi-Fi y tengo el cable conectado, va Internet mucho más lento).

                    1 Reply Last reply Reply Quote 0
                    • ptt
                      ptt Rebel Alliance last edited by

                      Que tienes en "System –> Routing" (pestaña Gateways) ?  (adjunta capturas de pantalla).

                      Tienes Habilitado el "DNS Resolver" o el "DNS Forwarder" ? (Services)

                      Respecto a las Pruebas que estás Realizando, NO/Nunca lo hagas con 2 interfaces/conexiones activas (WiFi / Ethernet).

                      La pruebas las Realizas conectándote únicamente a la LAN del pfSense.

                      Desde la WAN del pfSense es "normal" que no responda a los "PING" a un "host" de la LAN

                      El acceso al "webconfigurator" (Menú web del pfSense) desde el "Lado WAN" está Bloqueado por Default.

                      Para que un Host de la LAN del pfSense tenga salida/acceso a internet, No necesitas "abrir puertos / DMZ" en el Router que tienes "antes" que el pfSense.

                      1 Reply Last reply Reply Quote 0
                      • C
                        cbd last edited by

                        @ptt:

                        Que tienes en "System –> Routing" (pestaña Gateways) ?  (adjunta capturas de pantalla).

                        Tienes Habilitado el "DNS Resolver" o el "DNS Forwarder" ? (Services)

                        Respecto a las Pruebas que estás Realizando, NO/Nunca lo hagas con 2 interfaces/conexiones activas (WiFi / Ethernet).

                        La pruebas las Realizas conectándote únicamente a la LAN del pfSense.

                        Desde la WAN del pfSense es "normal" que no responda a los "PING" a un "host" de la LAN

                        El acceso al "webconfigurator" (Menú web del pfSense) desde el "Lado WAN" está Bloqueado por Default.

                        Para que un Host de la LAN del pfSense tenga salida/acceso a internet, No necesitas "abrir puertos / DMZ" en el Router que tienes "antes" que el pfSense.

                        He quitado la Wi-Fi pero responde exactamente igual.

                        Tengo activado el por defecto, que es el Resolver, ya digo que está todo reseteado.
                        Respecto a lo de los puertos, es que ya no sabia qué probar.

                        1 Reply Last reply Reply Quote 0
                        • C
                          cbd last edited by

                          No sé ya lo que hacer, esta tarde lo he actualizado a la 2.3 y a raíz de ahí ahora si que resuelve DNS y se conecta el pfSense, además, puedo hacer ping desde el cliente de la lan hacia cualquier url, y la resuelve y llegan los paquetes pero sigo sin poder navegar y no comprendo el porqué.
                          He vuelto a restaurar el pfsense e incluso el router, pero nada de nada.

                          Por favor, a ver si me podéis ayudar!!!

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post

                          Products

                          • Platform Overview
                          • TNSR
                          • pfSense Plus
                          • Appliances

                          Services

                          • Training
                          • Professional Services

                          Support

                          • Subscription Plans
                          • Contact Support
                          • Product Lifecycle
                          • Documentation

                          News

                          • Media Coverage
                          • Press
                          • Events

                          Resources

                          • Blog
                          • FAQ
                          • Find a Partner
                          • Resource Library
                          • Security Information

                          Company

                          • About Us
                          • Careers
                          • Partners
                          • Contact Us
                          • Legal
                          Our Mission

                          We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                          Subscribe to our Newsletter

                          Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                          © 2021 Rubicon Communications, LLC | Privacy Policy