Некоректно работают правила firewall

muxas · Aug 17, 2015, 3:39 AM

был занят, извените что так долго не отвечал.

Ссылки нету.
Services - FTP client proxy
Ставим галочку "enabled".
"Local Interface" - LAN

Ftp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет

200 PORT command successful
425 Unable to build data connection: Operation timed out

нужно pkg add ,без подчёркивания.

уже так и сделал, но все равно lightsquid не работает. Теперь пустое окно. Парсер запускал, ругается что что то с путями до
конфига.

gmn · Aug 17, 2015, 6:30 AM

@muxas:

Ftp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет

200 PORT command successful
425 Unable to build data connection: Operation timed out

Ошибка явно с активным ftp.
Опция "Rewrite Source to Port 20" установлена?

muxas · Aug 17, 2015, 7:38 AM

Опция "Rewrite Source to Port 20" установлена?

да

gmn · Aug 17, 2015, 8:09 AM

Проверил специально.
С тестовой сети (на vmware) выход через pfsense "в мир" (внешнюю сеть).
Модуля "FTP Client proxy" небыло. Активный ftp не работал.
Установил модуль - все стало на свои места. Настройки минимальные.
Proxy Enabled - yes
Local Interface - LAN
Rewrite Source to Port 20 - yes

muxas · Aug 17, 2015, 8:21 AM

У меня точно также, плюс стоит логирование. Но вот логов его в системных нет. Может быть проблема в firewall? Какие у Вас открыты порты для работы FTP proxy?

gmn · Aug 17, 2015, 8:43 AM

Это тестовая сеть - открыто "any".
Правило редиректа добавляет в pfsense, видимо, сам плагин:
rdr pass on em1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021

Откройте с какого-то хоста в локалке доступ на ANY и увидите.

muxas · Aug 17, 2015, 9:00 AM

Добавил правило, в логах нет ни слова про порт 8021. Трафик как будто мимо плагина идет

gmn · Aug 17, 2015, 9:18 AM

Чтобы не встявлять скриншоты …
На том же тестовом стенде ... с локалки закрыто все.
Активирован только плагин "ftp proxy" и разрешен доступ на интерфейсе LAN на 127.0.0.1 порт 8021.
И работает и активный ftp, и пассивный.
На pfsense два правила только:
rdr pass on em1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021
pass in log quick on em1 inet proto tcp from any to 127.0.0.1 port = ftp-proxy flags S/SA keep state label "USER_RULE"

Т.е. вам надо разрешить в локалки подключаться на 127.0.0.1 порт 8021.
И проверить, чтобы в настройках плагина интерфейс был локальной сети.

muxas · Aug 17, 2015, 10:04 AM

Все именно так и настроено.

gmn · Aug 17, 2015, 10:37 AM

Теоретически все правильно.
И правило NAT у вас есть же?
Если да, тогда захидите по ssh и смотрите tcpdump-ом, доходят ли пакеты вообще на ваш шлюз от хоста с локалки.
Доходят - смотрите логи, запущенные процессы …

muxas · Aug 17, 2015, 10:48 AM

Правило nat есть, не могу найти логи FTP proxy. Ставил галку на логирование, в системных логах нет. В каталоге /var/log тоже не нашел. Подскажите где еще можно посмотреть?

gmn · Aug 17, 2015, 11:00 AM

включение лога и полученная запись в логе.
10.0.1.24 - это хост во "внешней сети" за NAT-ом по отношению к хосту в локальной сети 192.168.44.11.

gmn · Aug 17, 2015, 11:02 AM

И без правила записи в лог попадают.

muxas · Aug 17, 2015, 11:05 AM

Можете еще показать правило NAT?

gmn · Aug 17, 2015, 11:17 AM

@muxas:

Можете еще показать правило NAT?

Это тестовая сеть и хост - там одно правило :)

werter · Aug 17, 2015, 11:36 AM

На WAN отключено блокирование "серых" сетей ?

gmn · Aug 17, 2015, 11:42 AM

@werter:

На WAN отключено блокирование "серых" сетей ?

Да. Это тестовый хост. И за WAN у него тоже серые сети.

muxas · Aug 18, 2015, 7:25 AM

Что то совсем не пойму, как настроить nat. Вот скрин. Может тут проблемы? Команда tcpdump port 8021 молчит. То есть если я правильно понял, обращений на порт 8021 localhost нет. tcpdump запущен на консоли pf.

muxas · Aug 18, 2015, 7:28 AM

Вот такой ответ на tcpdump port 20

Прощу прощения за такой вид, не знаю почему все зачеркнутое.

tcpdump port 20
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:24:54.822835 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489447615 ecr 0], length 0
16:24:57.795992 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489450615 ecr 0], length 0
16:25:00.988967 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489453815 ecr 0], length 0
16:25:04.140057 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:07.312012 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:10.484117 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:16.630504 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 1580116726, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:28.859804 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags , seq 1580116726, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:52.716074 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags ~~, seq 2716503822, win 65535, options [mss 1380,sackOK,eol], length 0~~

gmn · Aug 18, 2015, 8:46 AM

Вам NAT нужен на обоих интерфейсах?
Думаю, в них проблема.
Оставьте только на WAN-е.