Некоректно работают правила firewall
-
Это только в понедельник, если пустить трафик в обход pf то ftp работает отлично. Так же удается зацепиться с консоли pf. Проблема присутствует только для клиентов LAN. И то если использовать штатный клиент MS win, с другими клиентами (total, FileZilla) таких проблем нет.
-
Похоже что проблема с активным ftp.
Попробуйте в том же Total Commander изменить режим с активного на пассивный и затем наоборот и проверить. -
Похоже что проблема с активным ftp.
Вы правы. Проверил с total, стояла галочка пассивный режим. Снял, после установления соединения и попытки запроса списка каталогов соединение закрылось.
Как решить данную проблему?
-
Не перечитывал весь тред …
Вопрос в том, что не работает пассивный ftp с локалки через pf nat к удаленному хосту. Верно?
Если да, то установите пакет "FTP Client Proxy". Он поможет решить проблему. -
Пакет стоит, но не ясно как его настроить. Можно ссылку?
-
Ссылки нету.
Services - FTP client proxy
Ставим галочку "enabled".
"Local Interface" - LAN
И галочку "Rewrite Source to Port 20" - это как раз активный ftp. -
С FTP тоже нашел временное решение, сервер работает в пассивном режиме, поэтому временно для клиентов LAN разрешил доступ по портам 10000-65535. Но почему раньше fpt отлично работал без этого правила? На стороне сервера точно знаю ни чего не менялось, то есть проблема в pf. И появилась проблема с lightsquid, он не хочет запускаться, ругается на perl. Комманда Pkg_add -r perl не запускается, пишет command not found. Как установить perl в систему?
нужно pkg add ,без подчёркивания.
-
был занят, извените что так долго не отвечал.
Ссылки нету.
Services - FTP client proxy
Ставим галочку "enabled".
"Local Interface" - LANFtp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет
200 PORT command successful
425 Unable to build data connection: Operation timed outнужно pkg add ,без подчёркивания.
уже так и сделал, но все равно lightsquid не работает. Теперь пустое окно. Парсер запускал, ругается что что то с путями до
конфига. -
Ftp proxy настроил, стал подключаться к серверу, но после команды ls клиент пишет
200 PORT command successful
425 Unable to build data connection: Operation timed outОшибка явно с активным ftp.
Опция "Rewrite Source to Port 20" установлена? -
Опция "Rewrite Source to Port 20" установлена?
да
-
Проверил специально.
С тестовой сети (на vmware) выход через pfsense "в мир" (внешнюю сеть).
Модуля "FTP Client proxy" небыло. Активный ftp не работал.
Установил модуль - все стало на свои места. Настройки минимальные.
Proxy Enabled - yes
Local Interface - LAN
Rewrite Source to Port 20 - yes -
У меня точно также, плюс стоит логирование. Но вот логов его в системных нет. Может быть проблема в firewall? Какие у Вас открыты порты для работы FTP proxy?
-
Это тестовая сеть - открыто "any".
Правило редиректа добавляет в pfsense, видимо, сам плагин:
rdr pass on em1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021Откройте с какого-то хоста в локалке доступ на ANY и увидите.
-
Добавил правило, в логах нет ни слова про порт 8021. Трафик как будто мимо плагина идет
-
Чтобы не встявлять скриншоты …
На том же тестовом стенде ... с локалки закрыто все.
Активирован только плагин "ftp proxy" и разрешен доступ на интерфейсе LAN на 127.0.0.1 порт 8021.
И работает и активный ftp, и пассивный.
На pfsense два правила только:
rdr pass on em1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021
pass in log quick on em1 inet proto tcp from any to 127.0.0.1 port = ftp-proxy flags S/SA keep state label "USER_RULE"Т.е. вам надо разрешить в локалки подключаться на 127.0.0.1 порт 8021.
И проверить, чтобы в настройках плагина интерфейс был локальной сети. -
Все именно так и настроено.
-
Теоретически все правильно.
И правило NAT у вас есть же?
Если да, тогда захидите по ssh и смотрите tcpdump-ом, доходят ли пакеты вообще на ваш шлюз от хоста с локалки.
Доходят - смотрите логи, запущенные процессы … -
Правило nat есть, не могу найти логи FTP proxy. Ставил галку на логирование, в системных логах нет. В каталоге /var/log тоже не нашел. Подскажите где еще можно посмотреть?
-
включение лога и полученная запись в логе.
10.0.1.24 - это хост во "внешней сети" за NAT-ом по отношению к хосту в локальной сети 192.168.44.11.
-
И без правила записи в лог попадают.
-
Можете еще показать правило NAT?
-
-
На WAN отключено блокирование "серых" сетей ?
-
На WAN отключено блокирование "серых" сетей ?
Да. Это тестовый хост. И за WAN у него тоже серые сети.
-
Что то совсем не пойму, как настроить nat. Вот скрин. Может тут проблемы? Команда tcpdump port 8021 молчит. То есть если я правильно понял, обращений на порт 8021 localhost нет. tcpdump запущен на консоли pf.
-
Вот такой ответ на tcpdump port 20
Прощу прощения за такой вид, не знаю почему все зачеркнутое.
tcpdump port 20
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:24:54.822835 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489447615 ecr 0], length 0
16:24:57.795992 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489450615 ecr 0], length 0
16:25:00.988967 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 3056733364, win 65535, options [mss 1380,nop,wscale 3,sackOK,TS val 1489453815 ecr 0], length 0
16:25:04.140057 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:07.312012 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:10.484117 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 3056733364, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:16.630504 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 1580116726, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:28.859804 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 1580116726, win 65535, options [mss 1380,sackOK,eol], length 0
16:25:52.716074 IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675: Flags, seq 2716503822, win 65535, options [mss 1380,sackOK,eol], length 0 -
Вам NAT нужен на обоих интерфейсах?
Думаю, в них проблема.
Оставьте только на WAN-е. -
Если ставлю автоматическое создание правил NAT, то прописываются оба интерфейса. Сейчас выставил ручками, оставил только WAN. Без изменений.
-
А в логах что? (firewall-а того же)
-
в логах пусто, хотя в правиле разрешающее доступ из LAN к Localhost:8021 галка логировать стоит
-
Судя по "IP mail1.yktpost.ru.ftp-data > 10.0.0.2.64675" запросы на ftp-сервер попали.
И отправляются ответы. В случае активного фтп они идут с 20 порта на высокий порт источника запроса.
В вашем случае это должен быть WAN IP - а оно так и есть, если я правильно понял условие.
Дальше ответ должен пройти обратно через NAT и через ftp proxy.
Вот или в правилах НАТ-а напутано что-то (не тот интерфейс, не те сети), или ftp proxy не работает.
Пропишите одно правило НАТ вручную, чтобы исключить ошибку.
С какой сети в какой внешний IP натить и на каком интерфейсе. -
Огромное спасибо за помощь, прописал правило все заработало. Скажите как его подправить что бы было более безопаснее?
-
Только правило NAT делается немного по другому.
В pf.conf на FreeBSD это выглядит так:nat on $ext_if from $my_lan to any -> $ext_if:0 port 1024:65535
Что касается секюрности.
Это вопрос обширный …
Что именно интересует?
-
Сейчас сделал вот так. В алиасе прописал адрес ftp. Интересует это корректно?
-
Сейчас сделал вот так. В алиасе прописал адрес ftp. Интересует это корректно?
И оно работает?
Пример выше же дан. -
Понятно что я ни его не понимаю в nat, не знаю как но правило работало. :) Сегодня перестало, вернул назад как на скрине. все заработало. Пошел читать по nat.
-
muxas
http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/
С 0-й части и начинайте. Сам пользую.
-
Спасибо, уже начал изучать
-
Рекомендую ознакомиться с лучшими фаерволами здесь Представлено подробное описание, плючы и минусы
-
На работе пользуемся kerio-winroute- удобный. Также можете попробоватьэтот. Есть полезная статья, долго описывать. здесь представлены основные проблемы в настройке фаерволла.