Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [RESOLVIDO] Problemas acessar FTP

    Scheduled Pinned Locked Moved Portuguese
    76 Posts 5 Posters 37.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      leandruco
      last edited by

      Pessoal voltei a ter probleas com FTP.
      Quando o cliente acessa o ftp pelo link A o modo passivo/ativo funcionam perfeitamente.
      Quando o cliente acesso o ftp pelo link B só funciona o passivo (windows explorer)

      Via TCPDUMP realizei o mesmo tipo de conexão pelos 2 links e observei que as seguintes conexões não são realizadas no link B, porem as mesmas regras de liberação e NAT estão definidas para ambos os links.

      200.195.x.x -> IP LINK A
      201.22.95.99 -> IP CLIENTE

      10:40:52.708716 IP 200.195.x.x.50767 > 201.22.95.99.55090: Flags , seq 11229273, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
      10:40:55.735015 IP 200.195.x.x.50767 > 201.22.95.99.55090: Flags , seq 11229273, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
      10:41:01.780760 IP 200.195.x.x.50767 > 201.22.95.99.55090: Flags , seq 11229273, win 8192, options [mss 1460,nop,nop,sackOK], length 0

      1 Reply Last reply Reply Quote 0
      • L
        leandruco
        last edited by

        Segue o log do TCPDUMP no momento em que é executando o comando para listar os diretórios.
        OBS. A conexão é feita normalmente pelos 2 links porem quando é solicitado que liste o diretório que só funciona pelo link A.

        TCPDUMP link A:

        11:34:00.125920 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 691336811, win 2041, length 16
        11:34:00.126308 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 16, win 260, length 38
        11:34:00.374007 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 39, win 2031, length 0
        11:34:03.388468 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 39, win 2031, length 19
        11:34:03.389122 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 35, win 260, length 21
        11:34:03.637331 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 60, win 2026, length 0
        11:34:05.458092 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 60, win 2026, length 27
        11:34:05.458663 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 62, win 260, length 30
        11:34:05.524721 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 90, win 2019, length 6
        11:34:05.525131 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 41
        11:34:05.768959 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 131, win 2008, length 0
        11:34:26.472034 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 6
        11:34:26.745356 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 137, win 2007, length 0

        TCPDUMP link B
        11:36:00.160894 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 2523323193, win 2026, length 27
        11:36:00.161612 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 27, win 260, length 30
        11:36:00.206559 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 31, win 2019, length 6
        11:36:00.207220 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 41
        11:36:00.478272 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 72, win 2008, length 0
        11:36:21.199448 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 6
        11:36:21.467695 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 78, win 2007, length 0
        11:38:28.714855 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [R.], seq 78, ack 33, win 0, length 0

        1 Reply Last reply Reply Quote 0
        • JackLJ
          JackL
          last edited by

          leandruco,

          Alguns provedores de internet simplesmente bloqueiam as conexões para a porta de comandos do FTP. Já peguei vários casos assim!

          Neste caso voltamos a indicação de uso ou não da diretiva debug.pfftpproxy, bem com, a questão do tipo de configuração do seu FTP Server!  :-\

          Abraços!
          Jack

          Treinamentos de Elite: http://sys-squad.com
          Soluções: https://conexti.com.br

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            Os dois links estão comunicando na porta 21, confere agora a porta de dados.

            @leandruco:

            Segue o log do TCPDUMP no momento em que é executando o comando para listar os diretórios.
            OBS. A conexão é feita normalmente pelos 2 links porem quando é solicitado que liste o diretório que só funciona pelo link A.

            TCPDUMP link A:

            11:34:00.125920 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 691336811, win 2041, length 16
            11:34:00.126308 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 16, win 260, length 38
            11:34:00.374007 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 39, win 2031, length 0
            11:34:03.388468 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 39, win 2031, length 19
            11:34:03.389122 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 35, win 260, length 21
            11:34:03.637331 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 60, win 2026, length 0
            11:34:05.458092 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 60, win 2026, length 27
            11:34:05.458663 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 62, win 260, length 30
            11:34:05.524721 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 90, win 2019, length 6
            11:34:05.525131 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 41
            11:34:05.768959 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 131, win 2008, length 0
            11:34:26.472034 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 6
            11:34:26.745356 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 137, win 2007, length 0

            TCPDUMP link B
            11:36:00.160894 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 2523323193, win 2026, length 27
            11:36:00.161612 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 27, win 260, length 30
            11:36:00.206559 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 31, win 2019, length 6
            11:36:00.207220 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 41
            11:36:00.478272 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 72, win 2008, length 0
            11:36:21.199448 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 6
            11:36:21.467695 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 78, win 2007, length 0
            11:38:28.714855 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [R.], seq 78, ack 33, win 0, length 0

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • L
              leandruco
              last edited by

              Opa galera
              @JackL:

              leandruco,

              Alguns provedores de internet simplesmente bloqueiam as conexões para a porta de comandos do FTP. Já peguei vários casos assim!

              Neste caso voltamos a indicação de uso ou não da diretiva debug.pfftpproxy, bem com, a questão do tipo de configuração do seu FTP Server!  :-\

              Abraços!
              Jack

              Já está habilitado esta opção. Testei das 2 formas habilitado e desabilitado.

              @marcelloc:

              Os dois links estão comunicando na porta 21, confere agora a porta de dados.

              Marcello, as mesmas regras que tem para um tem para o outro liberado a porta 20,21,22 e da 1024 até a 65000
              Não sei mas o que fazer, já conferi tudo umas 10x

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                monitora via tcpdump o ip remoto e não só a porta 21 na wan

                e monitora o ip do servidor ftp na dmz/lan

                desta forma você consegue ver aonde esta o problema

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • JackLJ
                  JackL
                  last edited by

                  @leandruco:

                  …as mesmas regras que tem para um tem para o outro liberado a porta 20,21,22 e da 1024 até a 65000

                  Justamente,

                  Talvez seja um bloqueio por parte do provedor de internet (a conexão é barrada no provedor, não no seu pfSense).

                  Verifique se não é este o caso (porta 20 bloqueada no provedor, por exemplo)!

                  Abraços!
                  Jack

                  Treinamentos de Elite: http://sys-squad.com
                  Soluções: https://conexti.com.br

                  1 Reply Last reply Reply Quote 0
                  • L
                    leandruco
                    last edited by

                    @marcelloc:

                    monitora via tcpdump o ip remoto e não só a porta 21 na wan

                    e monitora o ip do servidor ftp na dmz/lan

                    desta forma você consegue ver aonde esta o problema

                    Esse log já é da conexão geral e não só da porta 21, vou monitorar na rede interna esse teste realmente eu esqueci de fazer, já eu posto os resultados.

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      Seu servidor deve estar tentando comunicar via ftp modo ativo.

                      ip_do_seu_ftp.porta20 -> ip_do_seu_cliente.porta alta

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • L
                        leandruco
                        last edited by

                        Segue o log pelos 2 links mas agora a comunicação interna

                        LINK A
                        15:28:20.781042 IP 201.22.x.x.60183 > 192.168.x.x.21: Flags [P.], ack 3713252912, win 2026, length 26
                        15:28:20.781695 IP 192.168.x.x.20 > 201.22.x.x.60189: Flags ~~, seq 3501714132, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                        15:28:20.781730 IP 192.168.x.x.21 > 201.22.x.x.60183: Flags [P.], ack 26, win 260, length 30
                        15:28:20.812791 IP 201.22.x.x.60189 > 192.168.x.x.20: Flags [S.], seq 2427334378, ack 3501714133, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
                        15:28:20.813346 IP 192.168.x.x.20 > 201.22.x.x.60189: Flags [.], ack 1, win 260, length 0
                        15:28:20.817325 IP 201.22.x.x.60183 > 192.168.x.x.21: Flags [P.], ack 31, win 2019, length 6
                        15:28:20.817903 IP 192.168.x.x.21 > 201.22.x.x.60183: Flags [P.], ack 32, win 260, length 54
                        15:28:20.817924 IP 192.168.x.x.20 > 201.22.x.x.60189: Flags [P.], ack 1, win 260, length 12
                        15:28:20.817938 IP 192.168.x.x.20 > 201.22.x.x.60189: Flags [F.], seq 13, ack 1, win 260, length 0
                        15:28:20.817952 IP 192.168.x.x.21 > 201.22.x.x.60183: Flags [P.], ack 32, win 260, length 24
                        15:28:20.848933 IP 201.22.x.x.60189 > 192.168.x.x.20: Flags [.], ack 14, win 68, length 0
                        15:28:20.849671 IP 201.22.x.x.60183 > 192.168.x.x.21: Flags [.], ack 109, win 1999, length 0
                        15:28:20.857958 IP 201.22.x.x.60189 > 192.168.x.x.20: Flags [F.], seq 1, ack 14, win 68, length 0
                        15:28:20.858382 IP 192.168.x.x.20 > 201.22.x.x.60189: Flags [.], ack 2, win 260, length 0
                        15:29:18.933997 IP 192.168.x.x.21 > 201.22.x.x.60168: Flags [R.], seq 844573360, ack 243557362, win 0, length 0
                        15:30:28.933866 IP 192.168.x.x.21 > 201.22.x.x.60183: Flags [R.], seq 109, ack 32, win 0, length 0

                        LINK B
                        15:26:52.902409 IP 201.22.x.x.60168 > 192.168.x.x.21: Flags [P.], ack 844573283, win 2026, length 26
                        15:26:52.902940 IP 192.168.x.x.20 > 201.22.x.x.60172: Flags ~~, seq 2312002024, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                        15:26:52.902989 IP 192.168.x.x.21 > 201.22.x.x.60168: Flags [P.], ack 26, win 260, length 30
                        15:26:52.951223 IP 201.22.x.x.60168 > 192.168.x.x.21: Flags [P.], ack 31, win 2019, length 6
                        15:26:52.953779 IP 192.168.x.x.21 > 201.22.x.x.60168: Flags [P.], ack 32, win 260, length 41
                        15:26:53.205003 IP 201.22.x.x.60168 > 192.168.x.x.21: Flags [.], ack 72, win 2008, length 0
                        15:26:55.902657 IP 192.168.x.x.20 > 201.22.x.x.60172: Flags ~~, seq 2312002024, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                        15:27:01.902678 IP 192.168.x.x.20 > 201.22.x.x.60172: Flags ~~, seq 2312002024, win 8192, options [mss 1460,nop,nop,sackOK], length 0
                        15:27:13.918462 IP 192.168.x.x.21 > 201.22.x.x.60168: Flags [P.], ack 32, win 260, length 6
                        15:27:14.171867 IP 201.22.x.x.60168 > 192.168.x.x.21: Flags [.], ack 78, win 2007, length 0

                        Percebi que no link A tem uma comunicação maior na porta 20, o que me leva a pensar que talvez seja o problema que o Jack falou com a operadora. O que vcs acham?~~~~~~~~

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          Este segundo tcpdump do link B é da lan ou da wan?

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • L
                            leandruco
                            last edited by

                            Lan

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              faz o mesmo na wan e compara os resultados.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • L
                                leandruco
                                last edited by

                                Eu já fiz,
                                @leandruco:

                                Segue o log do TCPDUMP no momento em que é executando o comando para listar os diretórios.
                                OBS. A conexão é feita normalmente pelos 2 links porem quando é solicitado que liste o diretório que só funciona pelo link A.

                                TCPDUMP link A:

                                11:34:00.125920 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 691336811, win 2041, length 16
                                11:34:00.126308 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 16, win 260, length 38
                                11:34:00.374007 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 39, win 2031, length 0
                                11:34:03.388468 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 39, win 2031, length 19
                                11:34:03.389122 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 35, win 260, length 21
                                11:34:03.637331 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 60, win 2026, length 0
                                11:34:05.458092 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 60, win 2026, length 27
                                11:34:05.458663 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 62, win 260, length 30
                                11:34:05.524721 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 90, win 2019, length 6
                                11:34:05.525131 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 41
                                11:34:05.768959 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 131, win 2008, length 0
                                11:34:26.472034 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 6
                                11:34:26.745356 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 137, win 2007, length 0

                                TCPDUMP link B
                                11:36:00.160894 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 2523323193, win 2026, length 27
                                11:36:00.161612 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 27, win 260, length 30
                                11:36:00.206559 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 31, win 2019, length 6
                                11:36:00.207220 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 41
                                11:36:00.478272 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 72, win 2008, length 0
                                11:36:21.199448 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 6
                                11:36:21.467695 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 78, win 2007, length 0
                                11:38:28.714855 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [R.], seq 78, ack 33, win 0, length 0

                                esse é o da wan, bem no momento do comando ls, pela maquina do cliente.
                                Externamente não sai nada na porta 20, mas na comunicação interna tem.
                                Como pode peixe vivo viver fora da auga fria.

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  acho que seu problema é de roteamento.

                                  parece que esta acontecendo o seguinte:

                                  ip externo -> ip_wan2 -> nat_pfsense -> servidor ftp

                                  quando o servidor de ftp vai iniciar o ftp ativo, acontece o seguinte

                                  servidor ftp -> pfsense -> gateway_padrao(wan1) -> ip externo

                                  muda seu ftp para mot pasive e veja se resolve o problema do link2

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • L
                                    leandruco
                                    last edited by

                                    Em modo passivo funciona normal, mas eu preciso que funcione via linha de comando.

                                    na maquina do cliente quando da o comando de listar ele exibe o seguinte:
                                    200 PORT command successful
                                    150 Opening ASCII monde data connection (E fica nisso a vida toda)

                                    O duro de ser rota é que eu n tenho nenhum gateway padrão definido, os 2 gw estão em tier diferentes e marcada a opção use stick cnnections.

                                    1 Reply Last reply Reply Quote 0
                                    • L
                                      leandruco
                                      last edited by

                                      Segue o log lado a lado
                                      do lado direito pelo link A e do lado esquerdo o link B

                                      Percebi que as informações diferem a partir da linha 27.

                                      log2.jpg
                                      log2.jpg_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        Só para confirmar o problema( ou  não ) de roteamento, monitora a lan e as duas wans quando estiver testando o link B

                                        Deve aparecer o trafego da porta 20 tentando sair pelo link A enquanto o cliente espera a resposta pelo link B

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • L
                                          leandruco
                                          last edited by

                                          Marcello vc mato a xarada
                                          É roteamento sim

                                          17:56:22.178756 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                                          17:56:25.182381 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                                          17:56:31.182362 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,nop,sackOK], length 0

                                          Apareceu requisições na iface do link A quando pedi para listar os arquivos conectado pelo link B

                                          O que vc me sugere para consertar?

                                          1 Reply Last reply Reply Quote 0
                                          • marcellocM
                                            marcelloc
                                            last edited by

                                            Infelizmente não tem conserto.  :(

                                            se você forçar o trafego pelo link B, quem vier pelo link A vai ter o mesmo problema.

                                            A solução é ftp passivo, onde o cliente solicita a porta de dados.

                                            Treinamentos de Elite: http://sys-squad.com

                                            Help a community developer! ;D

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.