Проблемы с работой ftp через Squid
-
на WAN установлены правила:
IPv4 TCP * * * 80 (HTTP) * none для HTTP трафика
IPv4 TCP/UDP * * * 53 (DNS) * none для DNS
NAt в outbound стоит в автоматическом режиме -
Неправильные настройки fw. И нет понимания как работает сквид.
Прозрачный сквид проксирует только то, что идет из внутренней сети во внешнюю на 80-й порт. Удаляйте свои правила на LAN и WAN и добавьте на LAN:IPv4 TCP/UDP LAN net * * 53 (DNS) * none
IPv4 TCP LAN net * ip-адрес-фтп 21 (FTP) * none -
Поменял правила, за что спасибо werter, теперь они выглядят так:
-
-
- LAN Address 443 80 22 * * Anti-Lockout Rule
IPv4 TCP/UDP LAN net * * 53 (DNS) * none
IPv4 TCP/UDP LAN net * * 80 (HTTP) * none
IPv4 TCP/UDP LAN net * * 443 (HTTPS) * none
IPv4 TCP/UDP LAN net * ftp.server.ru 21 (FTP) * none
IPv4 TCP/UDP LAN net * LAN address * * none насколько я понимаю, этим правилом я разрешил трафик из локальной подсети до LAN интерфейса PfSense, иначе не работал интернет у пользователей, хотя я думал, что у Pfsense по умолчанию этот трафик разрешен =(
- LAN Address 443 80 22 * * Anti-Lockout Rule
-
Однако, все тот же запрещенный доступ для ftp, есть у кого-то еще идеи, куда можно копнуть?
-
-
есть у кого-то еще идеи, куда можно копнуть?
В сторону обучения.
http://ru.wikipedia.org/wiki/FTP
File Transfer Protocol
21/TCP для команд,
20/TCP для данных,
49152-65534/TCPСовет:
Откройте все порты и протоколы всем и всюду.
Добейтесь правильной работы.
Потом закрывайте порты и протоколы. -
2dr.gopher спасибо за ответ
По поводу вашего ответа спасибо за линк на вики, прочитано было до этого…По поводу списка портов спасибо, теперь они на видном месте, а не только в гугле/вики...
По поводу открыть все порты и протоколы, вы имели ввиду правило any to any для LAN
интерфейса?
Если это так, то я с него начал и чисто его не достаточно чтобы из Lan был доступ на ftp сервер=( (На всех интерфейсах которые есть изначально вешается правило any to any и лишь потом скромными шажками добавляются те или иные правила)По поводу открытия портов, пробовал в нате изображать такое:
// тк адрес внешний-публичный, то на всякий случай на внешнем интерфейсе прописал
WAN TCP/UDP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
WAN TCP/UDP * * WAN address 20 ftp.server.ru 20и
//тк доступ из локальной сети во внешнюю через WAN интерфейс
LAN TCP/UDP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
LAN TCP/UDP * * WAN address 20 ftp.server.ru 20параметры у обих записей в нат:
NAT reflection Use system default
Filter rule association PassП.С. Спасибо всем кто пытается помочь советами
-
-
Еще раз выставил правило в any to any все остальное удалил и на LAN и на остальных интерфейсах, проверил наличие какой-либо статики…нет ее, удал все из NAT, остался только флаг на радио кнопке автоматического режима в аутбаунде NAT и благословясь закрепил все изменения нажав на божественный перст в виде "Apply Changes"... И ничего, молнии не били-фтп не заработал=(
читаю кукбук...мб там что найду=(
П.С. Спасибо за веру в мой низкий интеллект и картинку по правилу "any to any" Joke -
прочитал http://www.thin.kiev.ua/router-os/50-pfsense/442-portforward-ftp-.html решил сделать как там написано при правиле в на LAN И Wan "any-to-any", получилось:
WAN TCP * * WAN address 20 ftp.server.ru 20
WAN TCP * * WAN address 21 (FTP) ftp.server.ru 21 (FTP)
WAN TCP * * WAN address 49152 - 65534 ftp.server.ru 21 - 16403при этом когда задавал в 3 NAT правиле nat ports указывал просто FTP.
И опять фтп не заработалоП.С. FileZilla запускается в пассивном режиме
-
прочитал http://www.thin.kiev.ua/router-os/50-pfsense/442-portforward-ftp-.html
Это ссылка - на портфорвард из внешней сети на локальный FTP.
Рекомендация:
1. Установите PF еще раз. Либо сбросьте установки на дефолтовые.
2. Запустите мастер первоначальных настроек.
3. Откройте все порты и протоколы в FW.
4. И ничего больше не трогайте.Сделав эти три шага (20-30 мигут) вы должны получить выход в интернет ХТТП, и доступ к внешним ФТП серверам.
-
Спасибо за совет, видимо без реинстала никак=(
-
Доброго времени суток всем.
Переустановил PfSense, на чистую. правила на всех интерфейсах "any-to-any" в нате ничего не трогал…до фтп по прежнему достучаться не могу... :'(
-
до фтп по прежнему достучаться не могу… :'(
Скажите чем вы стучите в ftp?
Виндовый клиент или ТС или еще что? -
О я глупец…(с)
Все заработало всем спасибо, если кому то поможет, то вот что я сделал:FW rules:
для WanIPv4 TCP * * WAN address 80 (HTTP) * none
IPv4 TCP * * WAN address 53 (DNS) * noneдля Lan
IPv4 * LAN net * * * * noneNAT outbound:
WAN 10.117.8.0/23 * * * WAN address 1024:65535Спасибо всем кто поделился советами! =)
-
Это настройки по умолчанию, за минусом автоната
ничего вы сделали. совсем.
а нужно было сделать как вам советовали: по умолчанию - автонат не трогать.
Если поставили НАТ в ручной режим, тогда действительно,
вам нужно правило для FTP - это последнее на вашем скрине - НАТ для исходящих портов. -
2smils, уважаемый если бы ничего делать не нужно было бы оно бы работало=)
У меня по все видимости не работало из-за не открытого в нате диапозона портов 1024:65535, в интернете я почему-то не видел такого формата задания диапазона.П.С. при чистом правиле any to any без открытия в нате портов ничего не работало
П.С. 2 совсем забыл сказать PfSense используется только как прокся, все сетевые настройки ПК получают от контроллера дома=) -
2 ogre
А зачем вы на WAN 53-ий порт открыли ? Решили DNS-сервером поработать? Да и 80-ый я бы "не светил" - тогда уж 443-ий используйте (сперва переключившись на HTTPS в настройках)
Или 80-ый - это у вас проброс на веб-сервер внутри сети?
-
2 werter без открытия dns порта отказывалось разрешать именные ссылки на ftp…как-то так=)
-
2 ogre
Первый раз такое слышу и ни у кого более открытия 53-го порта для FTP (!!!) не видел. ИМХО , что-то у вас там не то накручено.
-
2 werter и остальные, таки я не прав…правило удалил...видимо осеннее обострение восполнения мозга взыграло=(
FTP нормально работает если выполнено 1 из условий:
- прописан маршрут до адреса каждого необходимого FTP через локальный адрес PfSense в качестве шлюза
- PfSense указан в качестве шлюза
Моя основная проблема, что нет возможности прописать его в качестве шлюза, по крайней мере в этом году точно, пока руководство не даст разрешение на создание своего и перевод на него, настройки сети все машины получают с контроллера домена по DHCP и я не имею возможности внести туда какие-либо изменения.
Первое условие в виде указания маршрутов на каждой машине для каждого необходимого ftp адреса, к сожалению слабо реализумо, ввиду более 100 пользователей, которые периодически используют различные ftp, к сожалению нет и скорее всего никогда не будет статического списка адресов ftp=(
П.С. Читая разные сайты включая буржуйские натыкаюсь на то, что в основном они используют PfSense в качестве шлюза=(
П.С.2 Прошу прощения за длинну поста и тот бред который я нес...
П.С.3 Проверку работоспособности провел плохо, на своем рабочем ПК не заметил остатки тестовых маршрутов, а на втором запущенный ProxiFier =( -
Человек, занимается орг. техникой.
Попал на ремонт старичок, НР 1010.
Я участвую, вроде присмотреть , человек новый.
Включаем , тест. Грязная страница.
Все ясно, чистим. Отдаем.
Второй день возится с ним. Мне интересно, чего так?
Принтер вскрыт. без крышек. тест. Бумага чОрная.
Смятение, проверка печки, валика, заряда, тонера….
улыбаюсь...
К вечеру второго дня, дык контакты на печку разомкнуты. Корпус - разобран.
Да. .. ЭТО ОЧЕВИДНО.
горе от ума.
Ну зато устройство принтера знает. :D