Não é possível acessar endereços IP dentro do meu próprio país. pfSense mostrando pacotes atingidos WAN

1

Eu tenho um firewall pfSense que tem uma WAN com vários endereços IP públicos. Eu uso o NAT para redirecionar certos IPs externos para IPs internos.

Eu posso me conectar de qualquer lugar, exceto do mesmo país. Quando alguém dentro do meu país tenta se conectar a qualquer endereço IP externo e porta, eles não são bem-sucedidos. Eu capturei pacotes na interface WAN e os vejo entrando.

Eu verifiquei duas vezes e há, de fato, uma regra de WAN que permite que as portas acessadas ao NAT passem para os servidores que pretendo. Não temos nenhuma verificação do Geo IP ou nenhuma regra baseada no endereço IP para bloquear o tráfego para esses servidores.

- Eu notei uma diferença entre conexões de trabalho e conexões que não funcionam

Usando a captura de pacotes no pfSense (substituiu alguns números por ###. ###, que são os mesmos números para todos)

Non working connection:    
22:26:25.140803 IP 190.150.206.159.50852 > 190.###.###.2.80: tcp 0
22:26:25.140828 ARP, Request who-has 190.150.206.159 tell 190.###.###.3, length 28

Working Connection:
22:24:26.164293 IP 24.189.161.72.5550 > 190.###.###.2.80: tcp 0
22:24:26.164305 IP 190.###.###.2.80 > 24.189.161.72.5550: tcp 1460

Outra conexão de um PC em uma porta diferente para um endereço IP WAN diferente (Same PFSense)

Non Working computer
09:39:05.612067 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0
09:39:08.610073 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0
09:39:14.608856 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0

Working Computer
09:41:04.412975 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 85
09:41:04.459077 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0
09:41:04.492887 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 101
09:41:04.537100 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0
09:41:06.177903 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 101
09:41:06.309178 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 0

Eu vejo no Firewall que isso é permitido, mas não consigo descobrir o que está bloqueando isso.

    
por BrinkDaDrink 23.12.2015 / 04:18

1 resposta

1

Obrigado @ dusan.bajic pela direção.

A máscara de sub-rede nos IPs virtuais

190.###.###.6/8
190.###.###.5/8
190.###.###.4/8
190.###.###.3/8

Alterou todos para

190.###.###.6/24
190.###.###.5/24
190.###.###.4/24
190.###.###.3/24

que faz muito mais sentido. agora os IPs externos não serão considerados internos e tudo está funcionando.

    
por 23.12.2015 / 20:46