[RESOLVIDO] Problemas acessar FTP
-
leandruco,
o pfSense é baseado num netfilter statefull (assim como o iptables). Isso significa que ele funciona exatamente como você está relatando (conexões estabelecidas, são mantidas até terminarem ou expirarem por qualquer motivo).
Você chegou a mexer em System->Advanced->Miscellaneous (deixou esta diretiva com valor "1")?
O seu firewall (Firewall->Rules->Lan) está configurado do Tipo Prudente, ou seja, por default todas as conexões são bloqueadas?
Abraços!
Jack -
Ola Jack obrigado pela informação
Em relação ao Miscellaneous eu fiz sim inclusive tem os print no meu primeiro post se quiser dar uma olhada.
Agora em relção a segunda pergunta eu creio que sim pois se eu não coloco a regra de liberação não funciona nada. -
Ola Jack obrigado pela informação
Em relação ao Miscellaneous eu fiz sim inclusive tem os print no meu primeiro post se quiser dar uma olhada.
Agora em relção a segunda pergunta eu creio que sim pois se eu não coloco a regra de liberação não funciona nada.Certo leandruco,
Neste caso, crie uma regra em "Firewall->Rules->Lan" liberando as conexões com destino aos FTPs (portas) passivos.
Basicamente conforme segue em anexo (Veja que no exemplo configurei um "alias" com todos os IPs públicos dos FTPs que a rede local pode/deve acessar).
Abraços!
Jack
-
Opa eu já tinha feito uma parecida só que n coloquei as portas deixei tudo para fazer o teste
-
Notei que vc está fazendo loadbalance de link de dados, correto?
Você já marcou a opção "System->Advanced->(Aba Miscellaneous)->Use sticky connections"?
Outra coisa importante, tente "encabeçar esta sua regra". Veja que o fw é sempre interpretado sequencialmente… Se houver uma regra mais acima que esteja negando este acesso, esta sua regra jamais será executada!
Nota: Jamais libere tudo conforme a imagem que você encaminhou. Imagino que você só o fez por teste, correto? ;)
Abraços!
Jack -
Sim foi só para teste.
Não tinha marcado a opção que vc mencionou marquei agora pra que ela serve?O acesso ao meu ftp eu consegui arrumar gora ele aceita tanto no modo passivo quanto no modo ativo.
Uma coisa que eu percebi é que as vezes os alias dão pau. A regra tava feita com o alias e n tava funcionando troquei para o ip cadastrado no VIRTAL IP ai funcinou, depois voltei para o alias novamente dai continuou funcionando.A unica coisa que falta agora é eu conseguir acessar este bendito ftp em modo passivo.
-
Jack a navegação parou após ativar está opção
"System->Advanced->(Aba Miscellaneous)->Use sticky connections"? -
Jack a navegação parou após ativar está opção
"System->Advanced->(Aba Miscellaneous)->Use sticky connections"?Esta opção faz com que o pfSense mantenha uma conexão (enquanto ela durar - portanto, até que uma das pontas termine-a) pelo link de dados em que ele iniciou. Ela é importantíssima quando se faz loabalance no pfSense e trabalha-se com conexões baseadas em seções (caso de HTTPS e afins, por exemplo).
Ela não deveria interromper a sua navegação… Muito pelo contrário, se você não a tinha marcado e estava tendo problemas com acesso a sites de banco, por exemplo, ela resolveria boa parte da sua vida!
Minha dica é que você reveja todas as tuas regras em "Firewall->Rules->Lan" e deixe esta regra de FTP passivo o mais próximo do início possível!
Abraços!
Jack -
Vlw Jack vou dar uma revisada.
Em questão de sites de banco estava tendo problemas sim dai configurei pra só sair por um link.Amanha posto os resultados depois de tudo organizado.
Obrigado pela atenção e bom descanso.
-
Em questão de sites de banco estava tendo problemas sim dai configurei pra só sair por um link.
Agora com o Use sticky connections você não precisa mais fixar rota de saída pra este tipo de conexão. Pelo link que a conexão for iniciada, ela será encerrada! ;)
Abraços!
Jack -
leandruco,
Faz uns testes via tcpdump para saber em que passo a comunicação interrompe.
Veja tanto a porta de comandos quanto a de dados. Abra duas consoles e Escute na wan e na lan ao mesmo tempo.
Desabilite tambem os helpers de FTP e refaça os mesmos testes.
Você consegue ver via tcpdump o que esta acontecendo? pacote saindo sem nat, pacote morrendo no firewall, pacote alternando entre dois links,etc?
Como já disse em alguns outros posts, o tcpdump é seu amigo. A interface gráfica ajuda muito, mas debug de verdade é feito na console.
-
Opa Marcello eu sempre trabalhava só no console com o iptables, mas como ainda não sou muito intimo do BSD ainda fico meio acanhando de mecher no console dele com medo de estragar kkkkk. Mas vou instalar o TCPDUMP e ver quais informações consigo tirar.
Obrigado.
-
Mas vou instalar o TCPDUMP e ver quais informações consigo tirar.
leandruco,
O tcpdump é nativo no pfSense. Basta usar!
Para saber como iniciar os trabalhos com o tcpdump: http://www.pedropereira.net/como-usar-o-tcpdump/
Abraços!
Jack -
Obrigado pelo material muito bom,
Porem estou tendo um pequeno problema para extrair os logs dele para um arquivoestou executando o seguinte comando:
tcpdump -nn -ni (interface) host (ip do host) -w /tmp/dump/arquivo.pcapPorem este comando está dando um erro de syntax.
Onde será que eu estou errando?
-
costumo usar desta forma:
console 1
tcpdump -ni (interface_wan) host (ftp_remoto)
console 2
tcpdump -ni (interface_lan) host (ftp_remoto)
deste sintaxe simples, voce consegue saber o que não esta dando certo.
são raros os casos em que você precisa salvar o log para analisar no wireshark.
no ftp ativo, fique de olho nas requisições com origem porta 20
-
Já descobri
O correto é:tcpdump -w /tmp/dump/arquivo.pcap -nn -ni (interface) host (ip do host)
;)
-
Pois é Marcello eu fiz a análise mas não sei se sou muito juvenil, mas não encontrei nada de errado.
As conexões estão sendo realizadas normalmente.Ser que posso colar o log aqui pra vcs darem uma olhada?
-
LOG ETH WAN
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
15:43:08.771240 IP IP WAN.32378 > IP FTP.21: Flags [P.], ack 3588619334, win 8153, length 13
15:43:08.786177 IP IP FTP.21 > IP WAN.32378: Flags [.], ack 13, win 46, length 0
15:43:08.786219 IP IP FTP.21 > IP WAN.32378: Flags [P.], ack 13, win 46, length 34
15:43:08.986044 IP IP WAN.32378 > IP FTP.21: Flags [.], ack 35, win 8119, length 0
15:43:13.603366 IP IP WAN.32378 > IP FTP.21: Flags [P.], ack 35, win 8119, length 17
15:43:13.625555 IP IP FTP.21 > IP WAN.32378: Flags [P.], ack 30, win 46, length 23
15:43:13.825326 IP IP WAN.32378 > IP FTP.21: Flags [.], ack 58, win 8096, length 0
15:43:16.771686 IP IP WAN.32378 > IP FTP.21: Flags [P.], ack 58, win 8096, length 27
15:43:16.786957 IP IP FTP.21 > IP WAN.32378: Flags [P.], ack 57, win 46, length 27
15:43:16.790997 IP IP WAN.32378 > IP FTP.21: Flags [P.], ack 85, win 8069, length 6
15:43:16.806116 IP IP FTP.21 > IP WAN.32378: Flags [P.], ack 63, win 46, length 29
15:43:17.006350 IP IP WAN.32378 > IP FTP.21: Flags [.], ack 114, win 8040, length 0LOG ETH LAN
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
15:43:08.771219 IP IP LAN.30497 > IP FTP.21: Flags [P.], ack 3588619334, win 8153, length 13
15:43:08.786211 IP IP FTP.21 > IP LAN.30497: Flags [.], ack 13, win 46, length 0
15:43:08.786232 IP IP FTP.21 > IP LAN.30497: Flags [P.], ack 13, win 46, length 34
15:43:08.986020 IP IP LAN.30497 > IP FTP.21: Flags [.], ack 35, win 8119, length 0
15:43:13.603350 IP IP LAN.30497 > IP FTP.21: Flags [P.], ack 35, win 8119, length 17
15:43:13.625569 IP IP FTP.21 > IP LAN.30497: Flags [P.], ack 30, win 46, length 23
15:43:13.825312 IP IP LAN.30497 > IP FTP.21: Flags [.], ack 58, win 8096, length 0
15:43:16.771664 IP IP LAN.30497 > IP FTP.21: Flags [P.], ack 58, win 8096, length 27
15:43:16.786984 IP IP FTP.21 > IP LAN.30497: Flags [P.], ack 57, win 46, length 27
15:43:16.790979 IP IP LAN.30497 > IP FTP.21: Flags [P.], ack 85, win 8069, length 6
15:43:16.806138 IP IP FTP.21 > IP LAN.30497: Flags [P.], ack 63, win 46, length 29
15:43:17.006327 IP IP LAN.30497 > IP FTP.21: Flags [.], ack 114, win 8040, length 0 -
O FTP remoto rejeita seu comando e não faz mais nada.
Só tem log na 21.
Nenhuma tentativa de transferencia é feita.
-
Galera resolvi todos os problemas com FTP.
Se eu contar pra vcs vcs não vão acreditar.Eu segui os passos dos tutoriais antes de tentar.
Então eu fui em system->advanced->system tunables e coloquei o valor do debug.pfftpproxy como 1.Então comecei a fazer as regras e os testes e nada de dar certo.
Hoje já injuriado sem saber mais o que fazer, fui lá e mudei essa opção para 0 que é o padrão.
Pronto problema resolvido funcionou tanto as publicações do meu FTP quanto o acesso passivo/ativo de ftps externos.Obrigado mais uma vez pela ajuda e atenção de vocês fico muito grato e contente em saber que tenho pra onde correr quando preciso.
