Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas

[Dúvida] Logs de BLOCK não aparecem no System Logs

Referente ao curso Segurança de rede: firewall, WAF e SIEM

por Henrique Lira
| 87.4k xp | 25 posts

Olá,

Não estou visualizando as regras de BLOCK ou PASS que crio, aparentemente não estão sendo atualizadas. Por exemplo, já estou no capítulo 4 e já criei a regra PASS na interface DMZ para acessar o Graylog a partir de minha workstation. Contudo, todo esse tráfego que eu faço não aparece no "Status → System Logs". O que mais vejo é a regra BLOCK GERAL bloqueando consultas de DNS.

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Ao acessar o menu "Diagnostics → States" consigo ver plenamente o tráfego que passa. Porém, o tráfego blooqueado não é mostrado.

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Caso eu criasse a regra de bloqueio de ICMP do Graylog (172.100.1.101) para o pfSense (172.100.1.10), por exemplo, eles não são mostrados no System Logs nem no States.

Seria este o comportamento correto?

2 respostas
por Renan Lima
| 2860.1k xp | 5941 posts
Instrutor Scuba Team

Olá, Henrique!

Pelo que você descreveu e pelas imagens que compartilhou, parece que as regras de bloqueio estão ativas, mas você não está vendo os logs correspondentes a essas regras no "Status → System Logs". Isso pode acontecer por algumas razões. Aqui estão algumas verificações e sugestões que você pode fazer para tentar resolver o problema:

  1. Verifique as Configurações de Logging: No pfSense, cada regra de firewall pode ser configurada para gerar logs ou não. Certifique-se de que a opção de log está ativada para as regras de bloqueio que você criou. Você pode fazer isso editando a regra e marcando a caixa "Log".

  2. Limite de Logs: O pfSense tem um limite para o número de entradas de log que ele mantém. Se muitos logs estiverem sendo gerados, alguns podem ser descartados. Verifique se o limite de logs está adequado para o seu ambiente.

  3. Regras de Passagem: Se você criou regras de PASS e o tráfego está passando, ele pode não aparecer nos logs de bloqueio, pois não está sendo bloqueado. Os logs de passagem podem ser habilitados em "Status → System Logs → Settings" marcando a opção "Log packets matched from the default pass rules".

  4. Atualizações e Bugs: Certifique-se de que o pfSense está atualizado com a última versão estável. Às vezes, bugs podem causar problemas de log, e atualizações podem resolver esses problemas.

  5. Reinicie os Serviços: Tente reiniciar os serviços de firewall para ver se isso resolve o problema de log. Isso pode ser feito em "Status → Services".

  6. Regras de Bloqueio: Se você criou uma regra de bloqueio e espera ver logs dessa regra, mas não está vendo, verifique se a regra está posicionada corretamente na lista de regras. O pfSense processa as regras de cima para baixo, e se uma regra de PASS estiver acima da regra de BLOCK para o mesmo tráfego, a regra de PASS será aplicada e o tráfego não será bloqueado.

  7. Verifique as Interfaces: Certifique-se de que as regras de bloqueio estão associadas à interface correta onde o tráfego está passando.

Se após essas verificações o problema persistir, pode ser útil consultar a documentação oficial do pfSense.

Espero ter ajudado e bons estudos!

solução!
por Henrique Lira
| 87.4k xp | 25 posts

Resolvi criando um pfSense do zero (v2.7.2).

Obrigado.

Quer mergulhar em tecnologia e aprendizagem?

Receba a newsletter que o nosso CEO escreve pessoalmente, com insights do mercado de trabalho, ciência e desenvolvimento de software