• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Некоректно работают правила firewall

Scheduled Pinned Locked Moved Russian
48 Posts 6 Posters 11.9k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    muxas
    last edited by Aug 17, 2015, 3:39 AM

    был занят, извените что так долго не отвечал.

    Ссылки нету.
    Services - FTP client proxy
    Ставим галочку "enabled".
    "Local Interface" - LAN

    Ftp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет

    200 PORT command successful
    425 Unable to build data connection: Operation timed out

    нужно pkg add ,без подчёркивания.

    уже так и сделал, но все равно lightsquid не работает. Теперь пустое окно. Парсер запускал, ругается что что то с путями до
    конфига.

    1 Reply Last reply Reply Quote 0
    • G
      gmn
      last edited by Aug 17, 2015, 6:30 AM

      @muxas:

      Ftp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет

      200 PORT command successful
      425 Unable to build data connection: Operation timed out

      Ошибка явно с активным ftp.
      Опция "Rewrite Source to Port 20" установлена?

      1 Reply Last reply Reply Quote 0
      • M
        muxas
        last edited by Aug 17, 2015, 7:38 AM

        Опция "Rewrite Source to Port 20" установлена?

        да

        1 Reply Last reply Reply Quote 0
        • G
          gmn
          last edited by Aug 17, 2015, 8:09 AM

          Проверил специально.
          С тестовой сети (на vmware) выход через pfsense "в мир" (внешнюю сеть).
          Модуля "FTP Client proxy" небыло. Активный ftp не работал.
          Установил модуль - все стало на свои места. Настройки минимальные.
          Proxy Enabled - yes
          Local Interface - LAN
          Rewrite Source to Port 20 - yes

          1 Reply Last reply Reply Quote 0
          • M
            muxas
            last edited by Aug 17, 2015, 8:21 AM

            У меня точно также, плюс стоит логирование. Но вот логов его в системных нет. Может быть проблема в firewall? Какие у Вас открыты порты для работы FTP proxy?

            1 Reply Last reply Reply Quote 0
            • G
              gmn
              last edited by Aug 17, 2015, 8:43 AM

              Это тестовая сеть - открыто "any".
              Правило редиректа добавляет в pfsense, видимо, сам плагин:
              rdr pass on em1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021

              Откройте с какого-то хоста в локалке доступ на ANY и увидите.

              1 Reply Last reply Reply Quote 0
              • M
                muxas
                last edited by Aug 17, 2015, 9:00 AM

                Добавил правило, в логах нет ни слова про порт 8021. Трафик как будто мимо плагина идет

                1 Reply Last reply Reply Quote 0
                • G
                  gmn
                  last edited by Aug 17, 2015, 9:18 AM

                  Чтобы не встявлять скриншоты …
                  На том же тестовом стенде ... с локалки закрыто все.
                  Активирован только плагин "ftp proxy" и разрешен доступ на интерфейсе LAN на 127.0.0.1 порт 8021.
                  И работает и активный ftp, и пассивный.
                  На pfsense два правила только:
                  rdr pass on em1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021
                  pass in log quick on em1 inet proto tcp from any to 127.0.0.1 port = ftp-proxy flags S/SA keep state label "USER_RULE"

                  Т.е. вам надо разрешить в локалки подключаться на 127.0.0.1 порт 8021.
                  И проверить, чтобы в настройках плагина интерфейс был локальной сети.

                  1 Reply Last reply Reply Quote 0
                  • M
                    muxas
                    last edited by Aug 17, 2015, 10:04 AM

                    Все именно так и настроено.

                    rules_firewall.jpg_thumb
                    rules_firewall.jpg
                    ftp_proxy_settings.jpg_thumb
                    ftp_proxy_settings.jpg

                    1 Reply Last reply Reply Quote 0
                    • G
                      gmn
                      last edited by Aug 17, 2015, 10:37 AM

                      Теоретически все правильно.
                      И правило NAT у вас есть же?
                      Если да, тогда захидите по ssh и смотрите tcpdump-ом, доходят ли пакеты вообще на ваш шлюз от хоста с локалки.
                      Доходят - смотрите логи, запущенные процессы …

                      1 Reply Last reply Reply Quote 0
                      • M
                        muxas
                        last edited by Aug 17, 2015, 10:48 AM

                        Правило nat есть, не могу найти логи FTP proxy. Ставил галку на логирование, в системных логах нет. В каталоге /var/log тоже не нашел. Подскажите где еще можно посмотреть?

                        1 Reply Last reply Reply Quote 0
                        • G
                          gmn
                          last edited by Aug 17, 2015, 11:00 AM Aug 17, 2015, 10:54 AM

                          включение лога и полученная запись в логе.
                          10.0.1.24 - это хост во "внешней сети" за NAT-ом по отношению к хосту в локальной сети 192.168.44.11.

                          ftp-proxy.JPG
                          ftp-proxy.JPG_thumb
                          log.JPG
                          ftp-proxy-log.JPG
                          ftp-proxy-log.JPG_thumb
                          log.JPG_thumb

                          1 Reply Last reply Reply Quote 0
                          • G
                            gmn
                            last edited by Aug 17, 2015, 11:02 AM

                            И без правила записи в лог попадают.

                            1 Reply Last reply Reply Quote 0
                            • M
                              muxas
                              last edited by Aug 17, 2015, 11:05 AM

                              Можете еще показать правило NAT?

                              1 Reply Last reply Reply Quote 0
                              • G
                                gmn
                                last edited by Aug 17, 2015, 11:17 AM

                                @muxas:

                                Можете еще показать правило NAT?

                                Это тестовая сеть и хост - там одно правило :)

                                nat.JPG
                                nat.JPG_thumb

                                1 Reply Last reply Reply Quote 0
                                • W
                                  werter
                                  last edited by Aug 17, 2015, 11:36 AM

                                  На WAN отключено блокирование "серых" сетей ?

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gmn
                                    last edited by Aug 17, 2015, 11:42 AM

                                    @werter:

                                    На WAN отключено блокирование "серых" сетей ?

                                    Да. Это тестовый хост. И за WAN у него тоже серые сети.

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      muxas
                                      last edited by Aug 18, 2015, 7:25 AM Aug 18, 2015, 7:15 AM

                                      Что то совсем не пойму, как настроить nat. Вот скрин. Может тут проблемы? Команда tcpdump port 8021 молчит. То есть если я правильно понял, обращений на порт 8021 localhost нет. tcpdump запущен на консоли pf.

                                      nat.JPG
                                      nat.JPG_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        muxas
                                        last edited by Aug 18, 2015, 7:28 AM

                                        Вот такой ответ на tcpdump port 20

                                        Прощу прощения за такой вид, не знаю почему все зачеркнутое.

                                        tcpdump port 20
                                        tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                                        listening on re0, link-type EN10MB (Ethernet), capture size 65535 bytes
                                        16:24:54.822835 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489447615 ecr 0], length 0
                                        16:24:57.795992 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489450615 ecr 0], length 0
                                        16:25:00.988967 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489453815 ecr 0], length 0
                                        16:25:04.140057 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
                                        16:25:07.312012 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
                                        16:25:10.484117 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
                                        16:25:16.630504 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 1580116726, win 65535, options [mss 1380,sackOK,eol], length 0
                                        16:25:28.859804 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 1580116726, win 65535, options [mss 1380,sackOK,eol], length 0
                                        16:25:52.716074 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 2716503822, win 65535, options [mss 1380,sackOK,eol], length 0

                                        1 Reply Last reply Reply Quote 0
                                        • G
                                          gmn
                                          last edited by Aug 18, 2015, 8:46 AM

                                          Вам NAT нужен на обоих интерфейсах?
                                          Думаю, в них проблема.
                                          Оставьте только на WAN-е.

                                          1 Reply Last reply Reply Quote 0
                                          35 out of 48
                                          • First post
                                            35/48
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received