NXFilter bloqueando NAT
418 views
Skip to first unread message
jd lucena
Jul 12, 2017, 10:01:27 AM7/12/17
to NxFilter - Portuguese
Versões utilizadas dos sistemas:
pfSense 2.3.4-RELEASE
NxFilter v3.5.1
Dados fictícios para entendimento:
IP externo: 186.236.216.90
IP interno: 192.168.0.1
Tenho um servidor web instalado na máquina 192.168.0.8 e configurei um nat no pfSense para ser acessado externamente pelo ip 186.236.216.90, até aí tudo bem, o mesmo funcionava ao ser acessado tanto externamente quanto internamente. Porém, após a instalação do NxFilter, não consigo acessar internamente pelo endereço externo, somente pelo endereço interno, quando tento acessar pelo endereço externo de dentro da minha rede aparece a tela de que o site está bloqueado (BLOCKED), oq pode ser?
Resumindo:
Acesso externo para o endereço 186.236.216.90: FUNCIONANDO!
Acesso interno para o endereço 192.168.0.8: FUNCIONANDO!
Acesso interno para o endereço 186.236.216.90: BLOCKED!
pfSense 2.3.4-RELEASE
NxFilter v3.5.1
Dados fictícios para entendimento:
IP externo: 186.236.216.90
IP interno: 192.168.0.1
Tenho um servidor web instalado na máquina 192.168.0.8 e configurei um nat no pfSense para ser acessado externamente pelo ip 186.236.216.90, até aí tudo bem, o mesmo funcionava ao ser acessado tanto externamente quanto internamente. Porém, após a instalação do NxFilter, não consigo acessar internamente pelo endereço externo, somente pelo endereço interno, quando tento acessar pelo endereço externo de dentro da minha rede aparece a tela de que o site está bloqueado (BLOCKED), oq pode ser?
Resumindo:
Acesso externo para o endereço 186.236.216.90: FUNCIONANDO!
Acesso interno para o endereço 192.168.0.8: FUNCIONANDO!
Acesso interno para o endereço 186.236.216.90: BLOCKED!
Suporte SAC
Jul 12, 2017, 10:59:21 AM7/12/17
to NxFilter - Portuguese
Bom dia,
por acaso o NxFilter está instalado no mesmo servidor ?
O NAT Reflection do pfSense está ativo ?
por acaso o NxFilter está instalado no mesmo servidor ?
O NAT Reflection do pfSense está ativo ?
jd lucena
Jul 12, 2017, 11:18:06 AM7/12/17
to NxFilter - Portuguese
Bom dia.
Sim, o NxFilter está instalado no mesmo servidor que o pfSense.
Acesso pfSense: 192.168.0.1:8888
Acesso NxFilter: 192.168.0.1/admin
Atualmente está da seguinte forma o NAT Reflection mode for port forwards: disabled
Nesse caso tem 3 opções:
disabled
NAT + proxy
Pure NAT
Qual opção habilito?
Sim, o NxFilter está instalado no mesmo servidor que o pfSense.
Acesso pfSense: 192.168.0.1:8888
Acesso NxFilter: 192.168.0.1/admin
Atualmente está da seguinte forma o NAT Reflection mode for port forwards: disabled
Nesse caso tem 3 opções:
disabled
NAT + proxy
Pure NAT
Qual opção habilito?
Suporte SAC
Jul 12, 2017, 5:27:38 PM7/12/17
to NxFilter - Portuguese
Então, o problema não é por conta do NxFilter. O NxFilter atua como servidor DNS. ele não altera NATs.
O que ocorre é que seu NAT Reflection foi desabilitado e ele entra em conflito com o NxFilter pois tanto o NxF quanto o NAT Reflection usam portas iguais.
Para voltar a ter o NAT Reflection você precisa coloca o NxFilter em uma VM ou servidor separado.
Os requisitos do NxFilter são bem pequenos, ele precisa de no mínimo 1 Processador 1GHZ, 1GB de RAM e 30 GB de HD.
Uma VM simples resolverá seu caso.
Visite nosso site Oficial e o Tutorial do NxFilter em https://nxfilter.net.br
O que ocorre é que seu NAT Reflection foi desabilitado e ele entra em conflito com o NxFilter pois tanto o NxF quanto o NAT Reflection usam portas iguais.
Para voltar a ter o NAT Reflection você precisa coloca o NxFilter em uma VM ou servidor separado.
Os requisitos do NxFilter são bem pequenos, ele precisa de no mínimo 1 Processador 1GHZ, 1GB de RAM e 30 GB de HD.
Uma VM simples resolverá seu caso.
Visite nosso site Oficial e o Tutorial do NxFilter em https://nxfilter.net.br
jd lucena
Jul 13, 2017, 6:41:04 AM7/13/17
to NxFilter - Portuguese
Valeu.
Vou montar uma VM.
Thiago Benko
Aug 8, 2017, 2:22:45 PM8/8/17
to NxFilter - Portuguese
Estou com o mesmo problema do amigo deste tópico. Só que no meu caso não utilizo o PFSense, utilizo o ubuntu mesmo e faço o NAT para meu servidor Windows. Minha estrutura está assim:
Servidor Firewall/NXFilter: 192.168.0.1 (Ubuntu Server 16.04).
Servidor IIS: 192.168.0.2 (Porta 8080).
O problema é que, quando vou acessar externamente, ele cai na página de bloqueio do nxfilter.
Servidor Firewall/NXFilter: 192.168.0.1 (Ubuntu Server 16.04).
Servidor IIS: 192.168.0.2 (Porta 8080).
O problema é que, quando vou acessar externamente, ele cai na página de bloqueio do nxfilter.
Suporte SAC
Aug 8, 2017, 9:09:02 PM8/8/17
to NxFilter - Portuguese
Sr Thiago, então seu problema é outro. O caso do sr JD Lucena era por que o pfSense usa uma ferramenta para fazer NAT e essa utiliza portas que conflitam com o NxFilter.
No seu caso, você está usando Ubuntu, que não utiliza esse tipo de serviço. Ele faz o NAT através de recursos do iptables. E não utiliza portas para fazer o reflection, ao menos não de modo nativo.
No seu caso há algum erro na sua configuração de NAT. O NxFilter escuta na porta 80 e não na 8080 que é a do referido servidor IIS.
Mas concluindo que seu cliente acessa de modo externo diretamente a porta 80, o seu NAT devia capturar antes de ser recebida a solicitação na porta 80.
Porém vejo que há um problema que pode até ser uma falha de segurança, como instalou o NxFilter no seu firewall ele deve estar respondendo tanto a porta 80 como a porta 53 para a internet.
Considerando que seu NxFilter deve responder somente para sua rede interna, sugiro que mude a configuração em cfg.properties, setando o parâmetro "listen_ip" para o ip interno, pois se está no padrão ele deve estar escutando em todas as interfaces inclusive a de internet.
No seu caso, você está usando Ubuntu, que não utiliza esse tipo de serviço. Ele faz o NAT através de recursos do iptables. E não utiliza portas para fazer o reflection, ao menos não de modo nativo.
No seu caso há algum erro na sua configuração de NAT. O NxFilter escuta na porta 80 e não na 8080 que é a do referido servidor IIS.
Mas concluindo que seu cliente acessa de modo externo diretamente a porta 80, o seu NAT devia capturar antes de ser recebida a solicitação na porta 80.
Porém vejo que há um problema que pode até ser uma falha de segurança, como instalou o NxFilter no seu firewall ele deve estar respondendo tanto a porta 80 como a porta 53 para a internet.
Considerando que seu NxFilter deve responder somente para sua rede interna, sugiro que mude a configuração em cfg.properties, setando o parâmetro "listen_ip" para o ip interno, pois se está no padrão ele deve estar escutando em todas as interfaces inclusive a de internet.
Suporte SAC
Aug 8, 2017, 9:11:48 PM8/8/17
to NxFilter - Portuguese
Mais informações sobre o parâmetro listen_ip em http://nxfilter.net.br/tutorial/pages/faq.html?highlight=listen_ip#posso-vincular-o-nxfilter-a-um-determinado-endereco-ip
Site NxFilter Brasileiro : https://nxfilter.net.br/
Tutorial em PTBR : https://nxfilter.net.br/tutorial/
Download : https://nxfilter.net.br/download/
Jahaslist : https://nxfilter.net.br/jahaslist/
Site NxFilter Brasileiro : https://nxfilter.net.br/
Tutorial em PTBR : https://nxfilter.net.br/tutorial/
Download : https://nxfilter.net.br/download/
Jahaslist : https://nxfilter.net.br/jahaslist/
Reply all
Reply to author
Forward
0 new messages