Некоректно работают правила firewall
-
Добрый день.
Зайдите в меню "Interfaces - (assign)" и укажите еще раз какой интерфейс WAN и какой LAN.
Затем проверьте настройки firewall. -
Уже делал. После сброса правил firewall все отлично заработало, но вот после перезагрузки, вообще все перестало работать. Правила не загрузились, адрес шлюза по умолчанию не прописался. Проблема оказалась в пакете squidguard, точнее в одном из его файлов. После удаления всего что было связано с squid и squidguard pfsense запустился. Заново установил squid 3 и squidguard. Но выше обозначенные проблемы не ушли. Возможно подправить правила firewall не через GUI а с консоли?
Выявилось еще 2 проблемы:
1. Не могу подключиться к pfsense по SSH для передачи файлов.sshd[76414]: Accepted keyboard-interactive/pam for admin from 192.168.0.160 port 1568 ssh2
Ошибка именно при подключении через pscp.exe
2. С консоли pfsense не могу подключиться к ftp находящемуся в LAN.Can`t lookup 'open:192.168.0.3': servname not supported for ai_socktype
Хотя возможно это связано с тем, что ftp поднят под Win2008R2. C win машин к ftp могу подключиться.
-
Основная проблема с маршрутами из 10.0.8.0/24 в LAN решилась, в настройках соединения PPPoE в качестве интерфейса на котором он работает стоял LAN. "Interfaces - (assign) - PPPs". Сам PPPoE успешно поднимался, и даже пускал клиентов LAN в свою подсеть. Остались проблемы с FTP.
-
С FTP тоже нашел временное решение, сервер работает в пассивном режиме, поэтому временно для клиентов LAN разрешил доступ по портам 10000-65535. Но почему раньше fpt отлично работал без этого правила? На стороне сервера точно знаю ни чего не менялось, то есть проблема в pf. И появилась проблема с lightsquid, он не хочет запускаться, ругается на perl. Комманда Pkg_add -r perl не запускается, пишет command not found. Как установить perl в систему?
-
С FTP тоже нашел временное решение, сервер работает в пассивном режиме, поэтому временно для клиентов LAN разрешил доступ по портам 10000-65535.
Не надо так делать. В настройках FTP настройте диапазон портов для пассива. Затем эти же порты пробросьте на пф.
-
Проблема в том, что клиент самописный. У него просто txt файл где указаны имя сервера, логин, порт. Затем идет секция с указанием в какой папке ftp сервера скачать какие файлы, и куда их положить на локальной машинке. Если же подключится через total или FileZilla все отлично подключается. Понятно что проблема именно в этом клиенте, поставлю что нибудь другое.
Не надо так делать. В настройках FTP настройте диапазон портов для пассива. Затем эти же порты пробросьте на пф.
Мне не совсем ясно как задать диапазон для пассивного режима? Доступа к серверу ftp у меня нет, а в таком режиме работы сам сервер говорит клиенту на какой порт стучаться для передачи данных.
Клиент winPX так же не цепляется, как и самописный. Сейчас стоит правило которое разрешает соединения на ftp сервер по любым портам. NAT outbound стоит в auto. Может в нем проблема?
-
Мне не совсем ясно как задать диапазон для пассивного режима? Доступа к серверу ftp у меня нет, а в таком режиме работы сам сервер говорит клиенту на какой порт стучаться для передачи данных.
Обратитесь к тому , у кого такой доступ есть. Пускай в настройках ftp он посмотрит\настроит диапазон портов.
-
Это только в понедельник, если пустить трафик в обход pf то ftp работает отлично. Так же удается зацепиться с консоли pf. Проблема присутствует только для клиентов LAN. И то если использовать штатный клиент MS win, с другими клиентами (total, FileZilla) таких проблем нет.
-
Похоже что проблема с активным ftp.
Попробуйте в том же Total Commander изменить режим с активного на пассивный и затем наоборот и проверить. -
Похоже что проблема с активным ftp.
Вы правы. Проверил с total, стояла галочка пассивный режим. Снял, после установления соединения и попытки запроса списка каталогов соединение закрылось.
Как решить данную проблему?
-
Не перечитывал весь тред …
Вопрос в том, что не работает пассивный ftp с локалки через pf nat к удаленному хосту. Верно?
Если да, то установите пакет "FTP Client Proxy". Он поможет решить проблему. -
Пакет стоит, но не ясно как его настроить. Можно ссылку?
-
Ссылки нету.
Services - FTP client proxy
Ставим галочку "enabled".
"Local Interface" - LAN
И галочку "Rewrite Source to Port 20" - это как раз активный ftp. -
С FTP тоже нашел временное решение, сервер работает в пассивном режиме, поэтому временно для клиентов LAN разрешил доступ по портам 10000-65535. Но почему раньше fpt отлично работал без этого правила? На стороне сервера точно знаю ни чего не менялось, то есть проблема в pf. И появилась проблема с lightsquid, он не хочет запускаться, ругается на perl. Комманда Pkg_add -r perl не запускается, пишет command not found. Как установить perl в систему?
нужно pkg add ,без подчёркивания.
-
был занят, извените что так долго не отвечал.
Ссылки нету.
Services - FTP client proxy
Ставим галочку "enabled".
"Local Interface" - LANFtp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет
200 PORT command successful
425 Unable to build data connection: Operation timed outнужно pkg add ,без подчёркивания.
уже так и сделал, но все равно lightsquid не работает. Теперь пустое окно. Парсер запускал, ругается что что то с путями до
конфига. -
Ftp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет
200 PORT command successful
425 Unable to build data connection: Operation timed outОшибка явно с активным ftp.
Опция "Rewrite Source to Port 20" установлена? -
Опция "Rewrite Source to Port 20" установлена?
да
-
Проверил специально.
С тестовой сети (на vmware) выход через pfsense "в мир" (внешнюю сеть).
Модуля "FTP Client proxy" небыло. Активный ftp не работал.
Установил модуль - все стало на свои места. Настройки минимальные.
Proxy Enabled - yes
Local Interface - LAN
Rewrite Source to Port 20 - yes -
У меня точно также, плюс стоит логирование. Но вот логов его в системных нет. Может быть проблема в firewall? Какие у Вас открыты порты для работы FTP proxy?
-
Это тестовая сеть - открыто "any".
Правило редиректа добавляет в pfsense, видимо, сам плагин:
rdr pass on em1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021Откройте с какого-то хоста в локалке доступ на ANY и увидите.
