bom, mas a dica que voce me deu no email posterior funcionou beleza...
acho que foi o fato de voce ter especificado somsnet "pass quick log",
ou seja nao especificou a direcao, entao o PF considerou tanto in como
out...
como entao criei so uma regra (no caso da minha rede requisitar o servico)
pass quick logo proto tcp from rede to any
no meu servidor de email por exemplo, fiz nas duas direcoes, e
economizei duas regras em cada entao...
Valeu!
c0re dumped escreveu:
Ignore a parte que eu falo das regras repetidas. Não tinha percebido o
in e out em cada uma. Sorry.
Seus logs já dão a resposta do seu problema:
3. 001561 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
x.x.x.x.1924: S 2300128873:2300128873(0) ack 1883772933 win 49640 <mss
1460,nop,nop,sackOK>
Sua máquina x.x.x.x está usando a porta 1924 nesta conexão o que não
bate com suas regras de fireall que dizem :
$pass in quick log proto { tcp udp } from $rede_1 to any port $portas
$pass out quick log proto { tcp udp } from $rede_1 to any port $portas
pela definição da tua macro, a porta 1924 não está inclusa.
As outras tentativas tb são negadas, pelo mesmo motivo.
Desta forma, a única coisa que o firewall vai fazer é negar a conexão,
já que você usa politica de negar por padrao.
6. 003653 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
x.x.x.x.1924: S 2350589401:2350589401(0) ack 1883772933 win 49640 <mss
1460,nop,nop,sackOK>
14. 032887 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
x.x.x.x.1925: S 2483462810:2483462810(0) ack 462237647 win 49640 <mss
1460,nop,nop,sackOK>
2. 986055 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
x.x.x.x.1925: S 2512858784:2512858784(0) ack 462237647 win 49640 <mss
1460,nop,nop,sackOK>
[]'s
|