Некоректно работают правила firewall
-
Здравствуйте.
Pfsense 2.2.4
2 физических сетевых интерфейса.
LAN - 192.168.0.10
WAN - 10.0.0.23 сервера OpenVPN
10.0.8.0/24
10.0.10.0/32
10.0.11.0.321 канал PPPoE
10.15.4.146Все работало отлично, затем понадобилось сервер отключить и установить еще одну сетевую карту. Карточка не пошла, в итоге была изъята и сервер был запущен в старой конфигурации.
Как написано выше. В итоге после запуска потерялись настройки физ. интерфейсов. То есть после запуска в консоли запустился мастер и попросил ему указать где какая сетевая карта, ее адрес и куда она смотрит. Указал, что интересно настройки OpenVPN и PPPoE сохранились. После того как заново настроил интерфейсы, все заработало, но с небольшими оговорками.
1. Если пытаться пинговать из подсети 10.0.8.0/24 LAN, то трафик почему то идет через сеть PPPoE. 10.0.8.250 –> 10.15.4.146 ---> 192.168.0.160 Естественно пинг не идет.
2. Есть ftp сервер внешний, он пингуется, но подключиться к нему не получается, totam cоmmander зависает после команды PASS.
3. Все это произошло на предыдущей версии, обновил ее до 2.2.4. Все прошло нормально, но pfsense не до конца закачал новые версии пакетов, теперь постоянно висит окно в GUI о том что ждите, идет закачка пакетов. Как будто просто не может скачать их.
4. Так же в самом начале слетели настройки DHCP, но это сразу восстановил.В остальном вроде все нормально.
Бэкап естественно не делался, так что откатиться нет возможности. Как и нет возможности заново инсталировать чистую ОС и настроить, т.к. придется с нуля ставить OpenVPN и его настраивать. Делать новые сертификаты и распространять их по клиентам.Посмотрел правила nat, возможно ошибка именно в них:
Если выполнить в консоли команду pfctl -F all все начинает работать.
-
Добрый день.
Зайдите в меню "Interfaces - (assign)" и укажите еще раз какой интерфейс WAN и какой LAN.
Затем проверьте настройки firewall. -
Уже делал. После сброса правил firewall все отлично заработало, но вот после перезагрузки, вообще все перестало работать. Правила не загрузились, адрес шлюза по умолчанию не прописался. Проблема оказалась в пакете squidguard, точнее в одном из его файлов. После удаления всего что было связано с squid и squidguard pfsense запустился. Заново установил squid 3 и squidguard. Но выше обозначенные проблемы не ушли. Возможно подправить правила firewall не через GUI а с консоли?
Выявилось еще 2 проблемы:
1. Не могу подключиться к pfsense по SSH для передачи файлов.sshd[76414]: Accepted keyboard-interactive/pam for admin from 192.168.0.160 port 1568 ssh2
Ошибка именно при подключении через pscp.exe
2. С консоли pfsense не могу подключиться к ftp находящемуся в LAN.Can`t lookup 'open:192.168.0.3': servname not supported for ai_socktype
Хотя возможно это связано с тем, что ftp поднят под Win2008R2. C win машин к ftp могу подключиться.
-
Основная проблема с маршрутами из 10.0.8.0/24 в LAN решилась, в настройках соединения PPPoE в качестве интерфейса на котором он работает стоял LAN. "Interfaces - (assign) - PPPs". Сам PPPoE успешно поднимался, и даже пускал клиентов LAN в свою подсеть. Остались проблемы с FTP.
-
С FTP тоже нашел временное решение, сервер работает в пассивном режиме, поэтому временно для клиентов LAN разрешил доступ по портам 10000-65535. Но почему раньше fpt отлично работал без этого правила? На стороне сервера точно знаю ни чего не менялось, то есть проблема в pf. И появилась проблема с lightsquid, он не хочет запускаться, ругается на perl. Комманда Pkg_add -r perl не запускается, пишет command not found. Как установить perl в систему?
-
С FTP тоже нашел временное решение, сервер работает в пассивном режиме, поэтому временно для клиентов LAN разрешил доступ по портам 10000-65535.
Не надо так делать. В настройках FTP настройте диапазон портов для пассива. Затем эти же порты пробросьте на пф.
-
Проблема в том, что клиент самописный. У него просто txt файл где указаны имя сервера, логин, порт. Затем идет секция с указанием в какой папке ftp сервера скачать какие файлы, и куда их положить на локальной машинке. Если же подключится через total или FileZilla все отлично подключается. Понятно что проблема именно в этом клиенте, поставлю что нибудь другое.
Не надо так делать. В настройках FTP настройте диапазон портов для пассива. Затем эти же порты пробросьте на пф.
Мне не совсем ясно как задать диапазон для пассивного режима? Доступа к серверу ftp у меня нет, а в таком режиме работы сам сервер говорит клиенту на какой порт стучаться для передачи данных.
Клиент winPX так же не цепляется, как и самописный. Сейчас стоит правило которое разрешает соединения на ftp сервер по любым портам. NAT outbound стоит в auto. Может в нем проблема?
-
Мне не совсем ясно как задать диапазон для пассивного режима? Доступа к серверу ftp у меня нет, а в таком режиме работы сам сервер говорит клиенту на какой порт стучаться для передачи данных.
Обратитесь к тому , у кого такой доступ есть. Пускай в настройках ftp он посмотрит\настроит диапазон портов.
-
Это только в понедельник, если пустить трафик в обход pf то ftp работает отлично. Так же удается зацепиться с консоли pf. Проблема присутствует только для клиентов LAN. И то если использовать штатный клиент MS win, с другими клиентами (total, FileZilla) таких проблем нет.
-
Похоже что проблема с активным ftp.
Попробуйте в том же Total Commander изменить режим с активного на пассивный и затем наоборот и проверить. -
Похоже что проблема с активным ftp.
Вы правы. Проверил с total, стояла галочка пассивный режим. Снял, после установления соединения и попытки запроса списка каталогов соединение закрылось.
Как решить данную проблему?
-
Не перечитывал весь тред …
Вопрос в том, что не работает пассивный ftp с локалки через pf nat к удаленному хосту. Верно?
Если да, то установите пакет "FTP Client Proxy". Он поможет решить проблему. -
Пакет стоит, но не ясно как его настроить. Можно ссылку?
-
Ссылки нету.
Services - FTP client proxy
Ставим галочку "enabled".
"Local Interface" - LAN
И галочку "Rewrite Source to Port 20" - это как раз активный ftp. -
С FTP тоже нашел временное решение, сервер работает в пассивном режиме, поэтому временно для клиентов LAN разрешил доступ по портам 10000-65535. Но почему раньше fpt отлично работал без этого правила? На стороне сервера точно знаю ни чего не менялось, то есть проблема в pf. И появилась проблема с lightsquid, он не хочет запускаться, ругается на perl. Комманда Pkg_add -r perl не запускается, пишет command not found. Как установить perl в систему?
нужно pkg add ,без подчёркивания.
-
был занят, извените что так долго не отвечал.
Ссылки нету.
Services - FTP client proxy
Ставим галочку "enabled".
"Local Interface" - LANFtp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет
200 PORT command successful
425 Unable to build data connection: Operation timed outнужно pkg add ,без подчёркивания.
уже так и сделал, но все равно lightsquid не работает. Теперь пустое окно. Парсер запускал, ругается что что то с путями до
конфига. -
Ftp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет
200 PORT command successful
425 Unable to build data connection: Operation timed outОшибка явно с активным ftp.
Опция "Rewrite Source to Port 20" установлена? -
Опция "Rewrite Source to Port 20" установлена?
да
-
Проверил специально.
С тестовой сети (на vmware) выход через pfsense "в мир" (внешнюю сеть).
Модуля "FTP Client proxy" небыло. Активный ftp не работал.
Установил модуль - все стало на свои места. Настройки минимальные.
Proxy Enabled - yes
Local Interface - LAN
Rewrite Source to Port 20 - yes -
У меня точно также, плюс стоит логирование. Но вот логов его в системных нет. Может быть проблема в firewall? Какие у Вас открыты порты для работы FTP proxy?