Проблемы с работой ftp через Squid

ogre

на WAN установлены правила:
IPv4 TCP         * * * 80 (HTTP) * none   для HTTP трафика 
IPv4 TCP/UDP * * * 53 (DNS) * none              для DNS
NAt в outbound стоит в автоматическом режиме

werter

Неправильные настройки fw. И нет понимания как работает сквид.
Прозрачный сквид проксирует только то, что идет из внутренней сети во внешнюю на 80-й порт. Удаляйте свои правила на LAN и WAN и добавьте на LAN:

IPv4 TCP/UDP  LAN net  *          *                  53 (DNS)    *    none
IPv4 TCP          LAN net  *  ip-адрес-фтп    21 (FTP)      *    none

ogre

Поменял правила, за что спасибо werter, теперь они выглядят так:

• • • LAN Address         443  80 22 * * Anti-Lockout Rule
      IPv4 TCP/UDP LAN net * * 53 (DNS) * none    
      IPv4 TCP/UDP LAN net * * 80 (HTTP) * none    
      IPv4 TCP/UDP LAN net * * 443 (HTTPS) * none    
      IPv4 TCP/UDP LAN net * ftp.server.ru 21 (FTP) * none
      IPv4 TCP/UDP LAN net * LAN address * * none   насколько я понимаю, этим правилом я разрешил трафик из локальной подсети до LAN интерфейса PfSense, иначе не работал интернет у пользователей, хотя я думал, что у Pfsense по умолчанию этот трафик разрешен =(

Однако, все тот же запрещенный доступ для ftp, есть у кого-то еще идеи, куда можно копнуть?

dr.gopher

@ogre:

есть у кого-то еще идеи, куда можно копнуть?

В сторону обучения.

http://ru.wikipedia.org/wiki/FTP

File Transfer Protocol
21/TCP для команд,
20/TCP для данных,
49152-65534/TCP

Совет:
Откройте все порты и протоколы всем и всюду.
Добейтесь правильной работы.
Потом закрывайте порты и протоколы.

ogre

2dr.gopher спасибо за ответ
По поводу вашего ответа спасибо за линк на вики, прочитано было до этого…

По поводу списка портов спасибо, теперь они на видном месте, а не только в гугле/вики...

По поводу открыть все порты и протоколы, вы имели ввиду правило any to any для LAN
интерфейса?
Если это так, то я с него начал и чисто его не достаточно чтобы из Lan был доступ на ftp сервер=(  (На всех интерфейсах которые есть изначально вешается правило any to any и лишь потом скромными шажками добавляются те или иные правила)

По поводу открытия портов, пробовал в нате изображать такое:
// тк адрес внешний-публичный, то на всякий случай на внешнем интерфейсе прописал
WAN TCP/UDP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
WAN TCP/UDP * * WAN address 20 ftp.server.ru 20

и
//тк доступ из локальной сети во внешнюю через WAN интерфейс
LAN TCP/UDP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
LAN TCP/UDP * * WAN address 20 ftp.server.ru 20

параметры у обих записей в нат:
NAT reflection              Use system default
Filter rule association  Pass

П.С. Спасибо всем кто пытается помочь советами

dr.gopher

@ogre:

Если это так, то я с него начал и чисто его не достаточно чтобы из Lan был доступ на ftp сервер=(

Чудес не бывает!

@ogre:

(На всех интерфейсах которые есть изначально вешается правило any to any и лишь потом скромными шажками добавляются те или иные правила)

Вам достаточно одного правила.

ogre

Еще раз выставил правило в any to any все остальное удалил и на LAN и на остальных интерфейсах, проверил наличие какой-либо статики…нет ее, удал все из NAT, остался только флаг на радио кнопке автоматического режима в аутбаунде NAT и благословясь закрепил все изменения нажав на божественный перст в виде "Apply Changes"... И ничего, молнии не били-фтп не заработал=(
читаю кукбук...мб там что найду=(
П.С. Спасибо за веру в мой низкий интеллект и картинку по правилу "any to any" Joke

ogre

прочитал http://www.thin.kiev.ua/router-os/50-pfsense/442-portforward-ftp-.html решил сделать как там написано при правиле в на LAN И Wan "any-to-any", получилось:

WAN TCP * * WAN address 20                     ftp.server.ru 20
WAN TCP * * WAN address 21 (FTP)           ftp.server.ru 21 (FTP)
WAN TCP * * WAN address 49152 - 65534   ftp.server.ru 21 - 16403

при этом когда  задавал в 3 NAT правиле nat ports указывал просто FTP.
И опять фтп не заработало

П.С. FileZilla запускается в пассивном режиме

dr.gopher

@ogre:

прочитал http://www.thin.kiev.ua/router-os/50-pfsense/442-portforward-ftp-.html

Это ссылка -  на портфорвард из внешней сети на локальный FTP.

Рекомендация:
1. Установите PF еще раз. Либо сбросьте установки на дефолтовые.
2. Запустите мастер первоначальных настроек.
3. Откройте все порты и протоколы в FW.
4. И ничего больше не трогайте.

Сделав эти три шага (20-30 мигут) вы должны получить выход в интернет ХТТП, и доступ к внешним ФТП серверам.

ogre

Спасибо за совет, видимо без реинстала никак=(

ogre

Доброго времени суток всем.

Переустановил PfSense, на чистую. правила на всех интерфейсах "any-to-any" в нате ничего не трогал…до фтп по прежнему достучаться не могу... :'(

smils

@ogre:

до фтп по прежнему достучаться не могу… :'(

Скажите чем вы стучите в ftp?
Виндовый клиент или ТС или еще что?

ogre

О я глупец…(с)
Все заработало всем спасибо, если кому то поможет, то вот что я сделал:

FW rules:
для Wan

IPv4 TCP * * WAN address 80 (HTTP) * none    
IPv4 TCP * * WAN address 53 (DNS)         * none

для Lan
IPv4 * LAN net * * * * none

NAT outbound:
WAN  10.117.8.0/23 * * * WAN address 1024:65535

Спасибо всем кто поделился советами! =)

smils

Это настройки по умолчанию, за минусом автоната
ничего вы сделали. совсем.
а нужно было сделать как вам советовали: по умолчанию - автонат не трогать.
Если поставили НАТ в ручной режим, тогда действительно,
вам нужно правило для FTP - это последнее на вашем скрине - НАТ для исходящих портов.

ogre

2smils, уважаемый если бы ничего делать не нужно было бы оно бы работало=)
У меня по все видимости не работало  из-за  не открытого в нате диапозона портов 1024:65535, в интернете я почему-то не видел такого формата задания диапазона.

П.С. при чистом правиле any to any без открытия в нате портов ничего не работало
П.С. 2 совсем забыл сказать PfSense используется только как прокся, все сетевые настройки ПК получают от контроллера дома=)

werter

2 ogre

А зачем вы на WAN 53-ий порт открыли  ? Решили DNS-сервером поработать? Да и 80-ый я бы "не светил" - тогда уж 443-ий используйте (сперва переключившись на HTTPS в настройках)

Или 80-ый - это у вас проброс на веб-сервер внутри сети?

ogre

2 werter без открытия dns порта отказывалось разрешать именные ссылки на ftp…как-то так=)

werter

2 ogre

Первый раз такое слышу и ни у кого более открытия 53-го порта для FTP (!!!) не видел. ИМХО , что-то у вас там не то накручено.

ogre

2 werter и остальные, таки я не прав…правило удалил...видимо осеннее обострение восполнения мозга взыграло=(

FTP нормально работает если выполнено 1 из условий:

1. прописан маршрут до адреса каждого необходимого FTP через локальный адрес PfSense в качестве шлюза
2. PfSense указан в качестве шлюза

Моя основная проблема, что нет возможности прописать его в качестве шлюза, по крайней мере в этом году точно, пока руководство не даст разрешение на создание своего и перевод на него, настройки сети все машины получают с контроллера домена по DHCP и я не имею возможности внести туда какие-либо изменения.

Первое условие в виде указания маршрутов на каждой машине для каждого необходимого ftp адреса, к сожалению слабо реализумо, ввиду более 100 пользователей, которые периодически используют различные ftp, к сожалению нет и скорее всего никогда не будет статического списка адресов ftp=(
П.С. Читая разные сайты включая буржуйские натыкаюсь на то, что в основном они используют PfSense в качестве шлюза=(
П.С.2 Прошу прощения за длинну поста и тот бред который я нес...
П.С.3 Проверку работоспособности провел плохо, на своем рабочем ПК не заметил остатки тестовых маршрутов, а на втором запущенный ProxiFier =(

smils

Человек, занимается орг. техникой.
Попал на ремонт старичок, НР 1010.
Я участвую, вроде присмотреть , человек новый.
Включаем , тест. Грязная страница.
Все ясно, чистим. Отдаем.
Второй день возится с ним. Мне интересно, чего так?
Принтер вскрыт. без крышек. тест. Бумага чОрная.
Смятение, проверка печки, валика, заряда, тонера….
улыбаюсь...
К вечеру второго дня, дык контакты на печку разомкнуты. Корпус - разобран.
Да. .. ЭТО ОЧЕВИДНО.
горе от ума.
Ну зато устройство принтера знает.  :D