FTP за pfSense. Проблемы.

D1M0N

Вы бы расписали хотябы что за версии, как порты прокинуты?

dr.gopher

Хотя сам FTP работает как положено, из локалки на него в тоже самое время отлично захожу.

1. Какие порты использует ваш ФТП?
2. Какие правила вы делали для редиректа?
3. Дока по редиректу и настройке ФТП http://thin.kiev.ua/index.php?option=com_content&view=article&id=442:portforward-ftp-&catid=50:pfsense&Itemid=81

egoist

pfsense 1.2.3

vsftpd (1.4):
listen_port=21
pasv_min_port=10500
pasv_max_port=10550

Делаю Port Forward 20, 21, 10500-10550. Настройки что в случае pfsense, что в случае роутера совершенно одинаковые. С pfsense все работает криво, с роутером все отлично. Проблема какая-то странная… То все нормально коннектится, то не зайти. Например человек что-то качает с сервака утром, а днем ему уже не зайти. В тоже время как другой чел совершенно нормально коннектится. Снаружи, не из локалки. И еще не понятно, почему такая низкая скорость работы с директориями. Все действия - вход, выход,... с какими-то адскими паузами. Это в случае pfsense.

aleksvolgin

2 egoist
Обратите внимание на IP адрес, отдаваемый ftp сервером клиенту, по его запросу в случае пассивного режима соединения.

egoist

Извиняюсь за молчание… не до того было.

Снес все нафиг, оставил пока роутер. Поставил pfSense 2.0.1 Пытаюсь настроить FTP (proftpd-1.3.3g) по мануалу: http://forum.pfsense.org/index.php/topic,14532.0.html
Сделал все кроме пункта:
"Теперь заходим в webGUI, в Interfaces –> LAN и ставим галочку “Disable the userland FTP-Proxy application” (рисунок ниже) и жмем SAVE"
Где это делается в pfSense 2.0.1?

Вроде бы как работает. Но FileZilla в активном режиме не может зайти. Выдает:
Command: MLSD
Error: Connection timed out
Error: Failed to retrieve directory listing
Тестирую из локалки, ни каких ограничений в доступе со стороны локалки нет.

И еще... У меня не нашлась libutil.so.9, сделал ln -s libutil.so.8 libutil.so.9 Это можно так делать? Если нет, то как подменить libutil.so.8 на libutil.so.9 чтобы не было проблем? И где эту либу взять?

При старте proftpd (кстати, как proftpd добавить в автозапуск?) вылезает предупреждение:

mod_tls/2.4.2: compiled using OpenSSL version 'OpenSSL 0.9.8q 2 Dec 2010' headers, but linked to 'OpenSSL 0.9.8n 24 Mar 2010' library
Я так понимаю, это из-за линка libutil.so... Так?

egoist

Надо было ставить proftpd-1.3.3a (из 8.1), тогда было бы все ок. Это я про libutil.so.9 Поставил proftpd-1.3.3a, все грабли пропали.

А как быть с Disable the userland FTP-Proxy application? Не найти что-то мне эту опцию в pfSense 2
И FTP-клиенты только в PASV могут заходить.

egoist

Еще очень бы хотелось разобраться, как добавить proftpd в автозапуск. Или хотя бы как его добавить в сервисы, чтобы из web-интерфейса запускать… В pfSense 2, как я понял, /cf/conf/config.xml несколько отличается.

egoist

Вот, на всякий случай скрины.

Вот это выдает FTP клиент:

Status:	Connecting to 192.168.1.1:21...
Status:	Connection established, waiting for welcome message...
Response:	220 ::ffff:192.168.1.1 FTP server ready
Command:	USER test
Response:	331 Password required for test
Command:	PASS ***************
Response:	230 Now apload/download files
Command:	OPTS UTF8 ON
Response:	200 UTF8 set to on
Status:	Connected
Status:	Retrieving directory listing...
Command:	CWD /
Response:	250 CWD command successful
Command:	TYPE I
Response:	200 Type set to I
Command:	PORT 192,168,1,100,23,189
Response:	200 PORT command successful
Command:	MLSD
Error:	Connection timed out
Error:	Failed to retrieve directory listing

Вот это в Status: System logs: System

May 3 10:35:59 	proftpd[35586]: pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]) - FTP session opened.
May 3 10:35:59 	proftpd[35586]: pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]) - Preparing to chroot to directory '/var/test'
May 3 10:35:59 	proftpd[35586]: pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]) - USER test: Login successful.
May 3 10:35:59 	proftpd[35586]: pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]) - USER test: Login successful.
May 3 10:35:59 	sshlockout[35716]: sshlockout/webConfigurator v3.0 starting up
May 3 10:37:14 	proftpd[35586]: pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]) - FTP session closed.

Конфиг proftpd:

ServerName "FTP"
ServerType standalone
DefaultServer on
ServerIdent off
ScoreboardFile      /var/run/proftpd.scoreboard

DelayTable      /var/run/proftpd.delay

Port 21

Umask 022

User test
Group nogroup

MaxClients 15 "Sorry, the maximum number of allowed users are already connected (%m)"
MaxClientsPerHost 4 "Sorry, the maximum number clients (%m) from your host are already connected."
MaxLoginAttempts 3

DisplayConnect /etc/ftp_connect.msg
DisplayLogin /etc/ftp_login.msg
AccessDenyMsg "ATTENTION!!! ALL CONNECTIONS LOGED"
AccessGrantMsg "Now apload/download files"
DisplayGoAway "Go Away"

TimeoutIdle 180
TimeoutLogin 120
TimeoutNoTransfer 360
TimeoutStalled 640

DefaultRoot ~

#SyslogLevel notice
#UseReverseDNS off
TransferLog /var/log/proftpd-transfer.log
#SystemLog /var/log/proftpd-error.log
ExtendedLog /var/log/proftpd-extended.log read,write

# Normally, we want files to be overwriteable.
 <directory>AllowOverwrite on</directory>

proftpd стоит с самом pfSense. Тестирую со стороны LAN
В PASV все работает отлично. Какая еще нужна инфа, чтобы понять что к чему?

Aliases.png_thumb

Firewall.png_thumb

egoist

А вот это пишет proftpd в лог:

May 03 11:57:00 pfsense.localdomain proftpd[27710] pfsense.localdomain: ProFTPD 1.3.3a (maint) (built Thu Jul 8 2010 14:00:33 UTC) standalone mode STARTUP
May 03 11:57:08 pfsense.localdomain proftpd[29502] pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]): FTP session opened.
May 03 11:57:08 pfsense.localdomain proftpd[29502] pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]): Preparing to chroot to directory '/var/test'
May 03 11:57:08 pfsense.localdomain proftpd[29502] pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]): USER test: Login successful.
May 03 11:58:24 pfsense.localdomain proftpd[29502] pfsense.localdomain (::ffff:192.168.1.100[::ffff:192.168.1.100]): FTP session closed.

aleksvolgin

И FTP-клиенты только в PASV могут заходить.

и что вас не устраивает?

egoist

@aleksvolgin:

и что вас не устраивает?

То, что проблемы с Active mode. Только Passive mode не устраивает потому, что люди часто не могут зайти в Passive mode. Я подключен к 2 провайдерам, так вот на конторский FTP с одного из провайдеров мне не попасть в Passive mode. Если не бы не работал Active mode, было бы тоскливо…

aleksvolgin

То, что проблемы с Active mode.

а вы разницу актив/пассив моде представляете? Судя по вашим сообщениям - нет.

Я подключен к 2 провайдерам, так вот на конторский FTP с одного из провайдеров мне не попасть в Passive mode.

и не получиться. Только актив моде робить в таком случае будет.

egoist

"а вы разницу актив/пассив моде представляете?"
Да.

Я хочу не чтобы с любого провайдера сервак был доступен в Passive mode. Это уж как получится. Проблема в том что я не могу из локалки зайти в Active mode. Локалка ни чем не ограничена, все открыто, специально скрины прикрепил.
Я хочу чтобы все работало в идеальных условиях, когда ничего не закрыто провайдером, нет ни какого NAT, ни каких файрволов, и т.д. Мне нужно чтобы сервак работал в штатном режиме. А что будет в реальных условиях, тут уж как повезет.

dr.gopher

@egoist:

Еще очень бы хотелось разобраться, как добавить proftpd в автозапуск.

http://thin.kiev.ua/index.php?option=com_content&view=article&id=600:scriptsh&catid=50:pfsense&Itemid=81

@egoist:

Или хотя бы как его добавить в сервисы, чтобы из web-интерфейса запускать…

http://forum.pfsense.org/index.php/topic,47553.0.html

Имхо в автозагрузку будет полегче. ;)

aleksvolgin

Хотя сам FTP работает как положено, из локалки на него в тоже самое время отлично захожу.

Проблема в том что я не могу из локалки зайти в Active mode.

вы определитесь, что у вас действительно не работает и что вам действительно нужно. Надоело кроссворды разгадывать.

egoist

aleksvolgin

Надоело кроссворды разгадывать

Какие кроссворды…? Я просто не стал создавать еще одну тему по сути о том же. На самом деле вопросы были про 2 совершенно разные истории. Ветка началась с вопроса о конторских pfSense и FTP, а продолжилась моими домашними :) Начиная с мессаги: http://forum.pfsense.org/index.php/topic,48656.msg259341.html#msg259341 речь идет о моем домашнем роутере.

dr.gopher
Я читал это. Но я не нашел что-то в config.xml блок Я просто не знаю куда там его добавлять, боюсь что все поростет если не туда добавлю. На самом деле мне вполне хватит варианта с автозапуском. Спасибо за линк.

[Add]: Добавил в автозапуск, все стартует. Спасибо.

dr.gopher

@egoist:

dr.gopher
Я читал это. Но я не нашел что-то в config.xml блок Я просто не знаю куда там его добавлять, боюсь что все поростет если не туда добавлю. На самом деле мне вполне хватит варианта с автозапуском. Спасибо за линк.

Если не нашли <service>в /cf/conf/config.xml

http://thin.kiev.ua/index.php?option=com_content&view=article&id=601:-pfsense-20-gui&catid=50:pfsense&Itemid=81</service>

egoist

dr.gopher
Ок. Спасибо. Но это решение нужно как-то доработать. Если так накатить cron, и потом добавить для proftpd, то все нормально появляется в web-интерфейсе. Но cron потом уже не удалить нормально, удаление cron убивает config.xml

egoist

Добавил:

	 <installedpackages><service><name>ProFTPd</name>
			<rcfile>proftpd</rcfile>
			<executable>proftpd</executable></service></installedpackages>

Сразу после <gateways></gateways>. Теперь все нормально.

А кто-нибудь пытался ставить mysql-server и pam-mysql? Как, pfSense вытерпит такие испытания? Хочется заюзать базу для юзеров.
В proftpd как-то непривычно все, думаю поставить vsftpd, mysql-server, pam-mysql.

egoist

Ладно. Поставлю, расскажу ;)