Проблемы с работой ftp через Squid
-
Доброго времени суток!
Имеется прокси сервер 2.1-RELEASE (amd64), на нем стоят следующие пакеты:
Lightsquid 1.8.2 pkg v.2.33 - для отчетов прокси,
OpenVPN Security 1.2.2 - для построения тунелей,
squid 2.7.9 pkg v.4.3.3 - прокси.
На этом сервере мною настроен прозрачный прокси.
К моему несчастью при попытке получить из Lan сети доступ ftp серверу требующему авторизацию, что через web, что через FileZilla, выдает ошибку доступа, при этом суде по web морде squid не воспринимает пароль=(Пробовал прописывать правила:
IPv4 TCP/UDP LAN net * WAN address ftp_ports * none
IPv4 * LAN net * ftp.server.ru * * noneгде
ftp_ports- алис в котором указаны 20 и 21 порты
ftp.server.ru - IP адрес необходимого фтп сервераГугл подсказал, что нужно squid как http прокси не любит ftp, и что с этим как то можно бороться с помощью хитрого проброса портов или ната, но примеров как оно делается не нашел=(
П.С. все что я знаю о фтп сервере на который нет соединения, что он крутится на убунте, доступа к нему у меня нет=(
-
на WAN установлены правила:
IPv4 TCP * * * 80 (HTTP) * none для HTTP трафика
IPv4 TCP/UDP * * * 53 (DNS) * none для DNS
NAt в outbound стоит в автоматическом режиме -
Неправильные настройки fw. И нет понимания как работает сквид.
Прозрачный сквид проксирует только то, что идет из внутренней сети во внешнюю на 80-й порт. Удаляйте свои правила на LAN и WAN и добавьте на LAN:IPv4 TCP/UDP LAN net * * 53 (DNS) * none
IPv4 TCP LAN net * ip-адрес-фтп 21 (FTP) * none -
Поменял правила, за что спасибо werter, теперь они выглядят так:
-
-
- LAN Address 443 80 22 * * Anti-Lockout Rule
IPv4 TCP/UDP LAN net * * 53 (DNS) * none
IPv4 TCP/UDP LAN net * * 80 (HTTP) * none
IPv4 TCP/UDP LAN net * * 443 (HTTPS) * none
IPv4 TCP/UDP LAN net * ftp.server.ru 21 (FTP) * none
IPv4 TCP/UDP LAN net * LAN address * * none насколько я понимаю, этим правилом я разрешил трафик из локальной подсети до LAN интерфейса PfSense, иначе не работал интернет у пользователей, хотя я думал, что у Pfsense по умолчанию этот трафик разрешен =(
- LAN Address 443 80 22 * * Anti-Lockout Rule
-
Однако, все тот же запрещенный доступ для ftp, есть у кого-то еще идеи, куда можно копнуть?
-
-
есть у кого-то еще идеи, куда можно копнуть?
В сторону обучения.
http://ru.wikipedia.org/wiki/FTP
File Transfer Protocol
21/TCP для команд,
20/TCP для данных,
49152-65534/TCPСовет:
Откройте все порты и протоколы всем и всюду.
Добейтесь правильной работы.
Потом закрывайте порты и протоколы. -
2dr.gopher спасибо за ответ
По поводу вашего ответа спасибо за линк на вики, прочитано было до этого…По поводу списка портов спасибо, теперь они на видном месте, а не только в гугле/вики...
По поводу открыть все порты и протоколы, вы имели ввиду правило any to any для LAN
интерфейса?
Если это так, то я с него начал и чисто его не достаточно чтобы из Lan был доступ на ftp сервер=( (На всех интерфейсах которые есть изначально вешается правило any to any и лишь потом скромными шажками добавляются те или иные правила)По поводу открытия портов, пробовал в нате изображать такое:
// тк адрес внешний-публичный, то на всякий случай на внешнем интерфейсе прописал
WAN TCP/UDP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
WAN TCP/UDP * * WAN address 20 ftp.server.ru 20и
//тк доступ из локальной сети во внешнюю через WAN интерфейс
LAN TCP/UDP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
LAN TCP/UDP * * WAN address 20 ftp.server.ru 20параметры у обих записей в нат:
NAT reflection Use system default
Filter rule association PassП.С. Спасибо всем кто пытается помочь советами
-
-
Еще раз выставил правило в any to any все остальное удалил и на LAN и на остальных интерфейсах, проверил наличие какой-либо статики…нет ее, удал все из NAT, остался только флаг на радио кнопке автоматического режима в аутбаунде NAT и благословясь закрепил все изменения нажав на божественный перст в виде "Apply Changes"... И ничего, молнии не били-фтп не заработал=(
читаю кукбук...мб там что найду=(
П.С. Спасибо за веру в мой низкий интеллект и картинку по правилу "any to any" Joke -
прочитал http://www.thin.kiev.ua/router-os/50-pfsense/442-portforward-ftp-.html решил сделать как там написано при правиле в на LAN И Wan "any-to-any", получилось:
WAN TCP * * WAN address 20 ftp.server.ru 20
WAN TCP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
WAN TCP * * WAN address 49152 - 65534 ftp.server.ru 21 - 16403при этом когда задавал в 3 NAT правиле nat ports указывал просто FTP.
И опять фтп не заработалоП.С. FileZilla запускается в пассивном режиме
-
прочитал http://www.thin.kiev.ua/router-os/50-pfsense/442-portforward-ftp-.html
Это ссылка - на портфорвард из внешней сети на локальный FTP.
Рекомендация:
1. Установите PF еще раз. Либо сбросьте установки на дефолтовые.
2. Запустите мастер первоначальных настроек.
3. Откройте все порты и протоколы в FW.
4. И ничего больше не трогайте.Сделав эти три шага (20-30 мигут) вы должны получить выход в интернет ХТТП, и доступ к внешним ФТП серверам.
-
Спасибо за совет, видимо без реинстала никак=(
-
Доброго времени суток всем.
Переустановил PfSense, на чистую. правила на всех интерфейсах "any-to-any" в нате ничего не трогал…до фтп по прежнему достучаться не могу... :'(
-
до фтп по прежнему достучаться не могу… :'(
Скажите чем вы стучите в ftp?
Виндовый клиент или ТС или еще что? -
О я глупец…(с)
Все заработало всем спасибо, если кому то поможет, то вот что я сделал:FW rules:
для WanIPv4 TCP * * WAN address 80 (HTTP) * none
IPv4 TCP * * WAN address 53 (DNS) * noneдля Lan
IPv4 * LAN net * * * * noneNAT outbound:
WAN 10.117.8.0/23 * * * WAN address 1024:65535Спасибо всем кто поделился советами! =)
-
Это настройки по умолчанию, за минусом автоната
ничего вы сделали. совсем.
а нужно было сделать как вам советовали: по умолчанию - автонат не трогать.
Если поставили НАТ в ручной режим, тогда действительно,
вам нужно правило для FTP - это последнее на вашем скрине - НАТ для исходящих портов. -
2smils, уважаемый если бы ничего делать не нужно было бы оно бы работало=)
У меня по все видимости не работало из-за не открытого в нате диапозона портов 1024:65535, в интернете я почему-то не видел такого формата задания диапазона.П.С. при чистом правиле any to any без открытия в нате портов ничего не работало
П.С. 2 совсем забыл сказать PfSense используется только как прокся, все сетевые настройки ПК получают от контроллера дома=) -
2 ogre
А зачем вы на WAN 53-ий порт открыли ? Решили DNS-сервером поработать? Да и 80-ый я бы "не светил" - тогда уж 443-ий используйте (сперва переключившись на HTTPS в настройках)
Или 80-ый - это у вас проброс на веб-сервер внутри сети?
-
2 werter без открытия dns порта отказывалось разрешать именные ссылки на ftp…как-то так=)
-
2 ogre
Первый раз такое слышу и ни у кого более открытия 53-го порта для FTP (!!!) не видел. ИМХО , что-то у вас там не то накручено.
-
2 werter и остальные, таки я не прав…правило удалил...видимо осеннее обострение восполнения мозга взыграло=(
FTP нормально работает если выполнено 1 из условий:
- прописан маршрут до адреса каждого необходимого FTP через локальный адрес PfSense в качестве шлюза
- PfSense указан в качестве шлюза
Моя основная проблема, что нет возможности прописать его в качестве шлюза, по крайней мере в этом году точно, пока руководство не даст разрешение на создание своего и перевод на него, настройки сети все машины получают с контроллера домена по DHCP и я не имею возможности внести туда какие-либо изменения.
Первое условие в виде указания маршрутов на каждой машине для каждого необходимого ftp адреса, к сожалению слабо реализумо, ввиду более 100 пользователей, которые периодически используют различные ftp, к сожалению нет и скорее всего никогда не будет статического списка адресов ftp=(
П.С. Читая разные сайты включая буржуйские натыкаюсь на то, что в основном они используют PfSense в качестве шлюза=(
П.С.2 Прошу прощения за длинну поста и тот бред который я нес...
П.С.3 Проверку работоспособности провел плохо, на своем рабочем ПК не заметил остатки тестовых маршрутов, а на втором запущенный ProxiFier =(