Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas

[Dúvida] Logs de BLOCK não aparecem no System Logs

Olá,

Não estou visualizando as regras de BLOCK ou PASS que crio, aparentemente não estão sendo atualizadas. Por exemplo, já estou no capítulo 4 e já criei a regra PASS na interface DMZ para acessar o Graylog a partir de minha workstation. Contudo, todo esse tráfego que eu faço não aparece no "Status → System Logs". O que mais vejo é a regra BLOCK GERAL bloqueando consultas de DNS.

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Ao acessar o menu "Diagnostics → States" consigo ver plenamente o tráfego que passa. Porém, o tráfego blooqueado não é mostrado.

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Caso eu criasse a regra de bloqueio de ICMP do Graylog (172.100.1.101) para o pfSense (172.100.1.10), por exemplo, eles não são mostrados no System Logs nem no States.

Seria este o comportamento correto?

2 respostas

Olá, Henrique!

Pelo que você descreveu e pelas imagens que compartilhou, parece que as regras de bloqueio estão ativas, mas você não está vendo os logs correspondentes a essas regras no "Status → System Logs". Isso pode acontecer por algumas razões. Aqui estão algumas verificações e sugestões que você pode fazer para tentar resolver o problema:

  1. Verifique as Configurações de Logging: No pfSense, cada regra de firewall pode ser configurada para gerar logs ou não. Certifique-se de que a opção de log está ativada para as regras de bloqueio que você criou. Você pode fazer isso editando a regra e marcando a caixa "Log".

  2. Limite de Logs: O pfSense tem um limite para o número de entradas de log que ele mantém. Se muitos logs estiverem sendo gerados, alguns podem ser descartados. Verifique se o limite de logs está adequado para o seu ambiente.

  3. Regras de Passagem: Se você criou regras de PASS e o tráfego está passando, ele pode não aparecer nos logs de bloqueio, pois não está sendo bloqueado. Os logs de passagem podem ser habilitados em "Status → System Logs → Settings" marcando a opção "Log packets matched from the default pass rules".

  4. Atualizações e Bugs: Certifique-se de que o pfSense está atualizado com a última versão estável. Às vezes, bugs podem causar problemas de log, e atualizações podem resolver esses problemas.

  5. Reinicie os Serviços: Tente reiniciar os serviços de firewall para ver se isso resolve o problema de log. Isso pode ser feito em "Status → Services".

  6. Regras de Bloqueio: Se você criou uma regra de bloqueio e espera ver logs dessa regra, mas não está vendo, verifique se a regra está posicionada corretamente na lista de regras. O pfSense processa as regras de cima para baixo, e se uma regra de PASS estiver acima da regra de BLOCK para o mesmo tráfego, a regra de PASS será aplicada e o tráfego não será bloqueado.

  7. Verifique as Interfaces: Certifique-se de que as regras de bloqueio estão associadas à interface correta onde o tráfego está passando.

Se após essas verificações o problema persistir, pode ser útil consultar a documentação oficial do pfSense.

Espero ter ajudado e bons estudos!

solução!

Resolvi criando um pfSense do zero (v2.7.2).

Obrigado.