Dificuldades com FTP passivo
-
Salve todos,
Migrei recentemente de um firewall Linux+iptables para o Pfsense (2.3.4) e embora possa dizer que a migração foi um sucesso esteja tudo operacional, estou enfrentando algumas dificuldades que não consegui resolver, mesmo encontrando no forum e no google problemas similares cujas soluções não me atenderam.
Peço então a ajuda dos/das colegas para resolver estas dificuldades, mas vou colocar cada problema em uma mensagem separada para não complicar a possível solução.
Meu cenário é o seguinte:
No Pfsense eu tenho 3 placas de rede configuradas como WAN, LAN e SERVER_I.O problema é:
Das estações na LAN eu consigo conectar ao servidor FTP em SERVER_1, tanto em modo ativo quanto passivo (isso é stá OK).
Mas da WAN só consigo conectar em modo ativo, quando mudo para passivo não consigo mais enviar nem receber nada (este é o problema).A única rule em SERVER_I é para passar tudo:
2.673 K/1.20 GiB IPv4 * SERVER_I net * * * * noneDa mesma forma, em LAN:
12.162 K/649.63 GiB IPv4 * LAN net * * * * noneNa WAN eu tenho um NAT 1:1 apontando um IP virtual externo para o IP real da máquina em SERVER_I
Além das regras abaixo.
0 /208 KiB IPv4 TCP * * FTPSERVER 20 - 21 * none
0 /0 B IPv4 TCP * 20 FTPSERVER 1024 - 65535 * noneInclusive já coloquei uma regra mais permissiva no topo da lista mas também não deu jeito.
0 /0 B IPv4 TCP * * FTPSERVER * * noneAnalisando a saída do sniffer com Diagnostic / Packet Capture eu notei que todo o tráfego ocorre sem problemas até eu entrar com o comando PASV. A partir daí os pacotes começam a ser retransmitidos como se vê na captura anexa tirada do Wireshark.
Vocês poderiam me dar uma ajuda com este problema?
grato.
 -
Fala ai meu amigo, você esta usando um cliente FTP para o acesso ? apresenta algum erro ao logar pelo cliente ?
-
Instala o cliente de ftp proxy. Esse dump está muito esquisito. Apesar de só aparecer a porta de dados do ftp, você está cheio de retransmit. Exceto em dumps de alguns firewalls comerciais onde o duplicate aparece quando não se aplica um filtro no dump, aparentemente você está com problemas na rede.
-
Fala ai meu amigo, você esta usando um cliente FTP para o acesso ? apresenta algum erro ao logar pelo cliente ?
Tudo joinha meu caro,
Não, o cliente não apresenta qualquer erro. Enquanto estou com a sessão em modo ativo tudo transcorre sem qualquer anomalia aparente, mas se entrar em modo passivo o próximo comando enviado fica congelado na tela sem qualquer resposta. Já deixei a sessão aberta nestas condições por vários minutos e não recebi nem mesmo timeout
-
Instala o cliente de ftp proxy. Esse dump está muito esquisito. Apesar de só aparecer a porta de dados do ftp, você está cheio de retransmit. Exceto em dumps de alguns firewalls comerciais onde o duplicate aparece quando não se aplica um filtro no dump, aparentemente você está com problemas na rede.
Tudo bem, Marcelo.
Eu filtrei para exibir somente o tráfego entre a o cliente de teste e o servidor que tem apenas um vsftpd rodando, por isso só aparece m estes dados.Quanto ao problema de rede eu tenho minhas suspeitas com relação a um switch físico no meio do caminho, mas não tenho certeza porque, como disse, isso só ocorre quando me conecto da WAN para o servidor na rede SERVER_I (se conectar da rede LAN para SERVER_I isso não ocorre) e como o pfsense é quem conecta está no meio destas redes não consigo ver razão para isso. Você tem algum palpite que possa ajudar?
A respeito do ftp proxy, eu li sobre ele em alguma thread como alternativa para este problema mas não entendi direito a sua finalidade. Me parece que ele seria instalado no pfsense e que faria uma "conversão" do modo passivo para o ativo. É isso?
-
caro welrbraga
conseguiu resolver este problema pois estou na batalha e esta complicado
poderia postar como fez as regras de direciamento -
caro welrbraga
conseguiu resolver este problema pois estou na batalha e esta complicado
poderia postar como fez as regras de direciamentoInfelizmente não, Isaias. Já estou com a versão 2.4.2 e ainda não achei uma solução para isso.
Para contornar o problema eu autorizei o acesso via SSH/SFTP para os usuários que estão tendo dificuldades e adotei o Fail2Ban no servidor FTP com o pfBlocker no pfSense, para banirem qualquer IP que tente se conectar por algumas vezes seguidas.
Não ficou elegante e tem me dado um pouco mais de trabalho para bloquear indevidamente alguém, além de ter perdido a restrição de visualização das pastas (chroot) mas foi a melhor solução que encontrei para o serviço não parar.
-
EU TINHA RODANDO ISSO NO DEBIAN, MIGREI PARA O PF FOI SHOW MAIS CARA FIQUEI FERADO NISSO AGORA, POIS TENHO REPRESENTANTES QUE USAM ISSO, NÃO TINHA ME PREOCUPADO POIS TEM ISSO FUNCIONANDO NO PFSENSE 2.2.6 AGORA NA VERSÃO MAIS NOVA NÃO TEM JEITO.
SERA QUE O MARCELO NÃO PODE DAR UMA MÃO PARA NOS, OU ATE CRIAR UM VIDEO SYSGUARD SOBRE ISSO, CARA ATÉ PAGO
-
Salve todos,
Migrei recentemente de um firewall Linux+iptables para o Pfsense (2.3.4) e embora possa dizer que a migração foi um sucesso esteja tudo operacional, estou enfrentando algumas dificuldades que não consegui resolver, mesmo encontrando no forum e no google problemas similares cujas soluções não me atenderam.
Peço então a ajuda dos/das colegas para resolver estas dificuldades, mas vou colocar cada problema em uma mensagem separada para não complicar a possível solução.
Meu cenário é o seguinte:
No Pfsense eu tenho 3 placas de rede configuradas como WAN, LAN e SERVER_I.O problema é:
Das estações na LAN eu consigo conectar ao servidor FTP em SERVER_1, tanto em modo ativo quanto passivo (isso é stá OK).
Mas da WAN só consigo conectar em modo ativo, quando mudo para passivo não consigo mais enviar nem receber nada (este é o problema).A única rule em SERVER_I é para passar tudo:
2.673 K/1.20 GiB IPv4 * SERVER_I net * * * * noneDa mesma forma, em LAN:
12.162 K/649.63 GiB IPv4 * LAN net * * * * noneNa WAN eu tenho um NAT 1:1 apontando um IP virtual externo para o IP real da máquina em SERVER_I
Além das regras abaixo.
0 /208 KiB IPv4 TCP * * FTPSERVER 20 - 21 * none
0 /0 B IPv4 TCP * 20 FTPSERVER 1024 - 65535 * noneInclusive já coloquei uma regra mais permissiva no topo da lista mas também não deu jeito.
0 /0 B IPv4 TCP * * FTPSERVER * * noneAnalisando a saída do sniffer com Diagnostic / Packet Capture eu notei que todo o tráfego ocorre sem problemas até eu entrar com o comando PASV. A partir daí os pacotes começam a ser retransmitidos como se vê na captura anexa tirada do Wireshark.
Vocês poderiam me dar uma ajuda com este problema?
grato.
Fera welrbraga, além de conexões tcp 21/22 do ftp, você inseriu o range de portas do modo passivo ?
Na saída do seu tráfego, o pacote tenta ser retransmitido pois possivelmente no campo "offset" não deve está havendo fragmentação. Ele mostra apenas mostra aí o tamanho do pacote que deve ser endereçado (buffer ) no destino.
Att,
-
vou mandar as telas para os colegas dar uma olhada
-
ERRO TELA PASSIVO
-
segue a tela em que não log como passivo
-
segue a tela em que não log como passivo
Olhe o que escrevi e essa tela fera.
Realize mais o "troubleshooting".Abraços
-
deslcula pskinfra
fiquei meio confuso, conseguiu uma solução para ftp passivo no pfsense?
-
sim. 8)
-
como fez as liberações e direcionamentos de portas
-
como fez as liberações e direcionamentos de portas
link1: https://doc.pfsense.org/index.php/FTP_Troubleshooting#FTP_Ports
link2: https://doc.pfsense.org/index.php/FTP_Troubleshooting -
devo estar com problema mas estes itens não estão funcionando para mim somente ativo
-
habilitei Enable the FTP Proxy.
debug.pfftpproxy 0
debug.pfftpports 21mas sem sucesso
