CONEXIONES FTP
-
Pregunto… ¿ se probó el acceso a servidores FTP desde un equipo en el lado LAN de pfSense con la regla por defecto que permite ir a cualquier sitio ?
¿ Y con NAT Outbound en automático, como viene "de fábrica" ?
Dicho de otra manera, ¿ funciona el acceso a servidores FTP con la configuración inicial ?
-
Hola,
Nat Outbound está en automático como viene de fábrica y el acceso con la regla por defecto que permite ir a cualquier sitio también. El acceso desde la red interna a un servidor ftp no funciona.
Saludos y muchas gracias por responder.
-
Hola,
Prueba a cambiar la FTP a modo pasivo:
xxxx@Acer-Daniel ~ $ ftp ftp> open ftp.xxx.es Connected to ftp.xxx.es. 220- 220- ....:::::: Bienvenido al servidor FTP ::::::.... 220- 220- Si se producen cinco accesos erroneos al FTP 220- será bloqueado por un periodo de 60 minutos 220- 220- ····::::::::::::::::::::::::::::::::::::::::···· 220 Name (ftp.xxxx.es:xxxxxxx): xxxx 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls 500 Illegal PORT command. ftp> pass Passive mode on. ftp> ls 227 Entering Passive Mode (87,98,230,90,78,40). 150 Here comes the directory listing. drwxrwxr-x 4 1001 65534 4096 Jun 07 12:55 ATIC drwxrwxr-x 3 1001 65534 4096 Nov 25 2015 B2C 226 Directory send OK. ftp> quit 221 Goodbye.¡Un saludo!
-
Danixu86, gracias por la respuesta.
Lo que me has dicho (cambiar a modo pasivo) me ha funcionado por comandos cuando no hay reglas en el firewall. Ese tipo de conexión ya me funcionaba con el Filezilla.
Cuando si están activas las reglas del firewall y el puerto 21 abierto con el Filezilla da el error 'error al recuperar el listado del directorio' y a través de comandos e intentando cambiar a modo pasivo al hacer un 'dir' me da el error '425 no data connection' y al meterle el comando 'pass' me da el error 'comando no válido'.
Muchas gracias otra vez.
Saludos. -
Pues no sabría decirte, porque la prueba que te he mostrado la he hecho con todas las reglas de FW activadas. ¿Puedes mostrarnos las reglas de FW que tienes puestas?, ¿en qué modo tienes puesto la NAT?.
Un saludo.
-
Danixu86,
En una de las tarjetas de red no tengo reglas en el firewall y un cliente ftp dentro de esa red conecta perfectamente con un servidor ftp sin ningún problema.
En la otra red (adjunto capturas de pantalla de las reglas del firewall) un cliente ftp llega a conectar con el servidor pero me da un error: 'error al recuperar el listado del directorio' y no pasa de ahí. Supongo que el problema es que intenta devolver los datos por un puerto que está cerrado, que por lo que he leído está por encima del 1024 y es aleatorio. No podría, por tanto, abrir un mogollón de puertos para que conecte ya que entonces no tendría sentido el firewall en mi caso.No se si tendrá algo que ver el 'FTP client proxy package' . Si tendré que instalarlo para que funcione… (https://forum.pfsense.org/index.php?topic=89841.0)
Adjunto las capturas de pantalla.
Muchísimas gracias por la ayuda.
-
El servidor FTP es externo ¿no?.
A ver si me pongo en situación.
Tienes dos redes LAN y cuatro WAN, y lo que quieres es limitar el tráfico desde una de las redes (EMP) al resto (Tanto la otra LAN como las WAN). En ese caso me temo que sólo podrás hacerlo si consigues hacer funcionar el FTP Proxy, porque como bien dices, la FTP necesita tener abiertos puertos de salida por encima del 1023 para las conexiones de datos. Me temo que nunca he usado el FTP_Proxy, por lo que no te puedo ayudar mucho con ese tema.Yo es que en mi configuración permito sólo ciertos puertos entre redes y todas las redes tienen conexión a las WAN sin limitación.
Por cierto, la última regla no es necesaria ya que el server por defecto dropea los paquetes que no coinciden con ninguna regla del FW.
-
Tengo 3 tarjetas en el pfsense: una wan (WAN) que es la salida para todos y que lleva la ip pública, otra tarjeta para una red que no tiene restricciones de salida (LAN) y otra tarjeta de red para una red que sí tiene esas restricciones (EMP). Ambas redes salen por esa Wan, una sin limitación y puede conectarse a un servidor proxy externo sin problemas (LAN) y otra, que tiene reglas en el firewall (unos cuantos puertos abiertos) y desde la que no puede conectarse a un servidor ftp. La red LAN puede ver a la EMP pero no al contrario (aunque creo que esto no influye en el problema). Si no pusiera las reglas del firewall podrían utilizarse programas de descarga de películas, etc, etc. por eso no puedo abrir mas puertos de los necesarios.
El problema que tengo es sólo con las conexiones a servidores FTP, que yo sepa, por lo que mencionábamos sobre los puertos aleatorios, que están cerrados y que por lo que he visto no hay manera de decir que esa conexión sea por uno o dos solamente.
Espero haberme explicado mejor.
Muchas gracias a todos por las respuestas.
-
Hola amigo, yo soy muy nuevo en el tema pero tengo un problema algo parecido. Haber si nos podemos ayudar, el tema en el que cambia es que yo tengo la wan autenticando por PPOE conl PFsense y entregando el direccionamiento DHCP a la red; el tema con el FTP ese el siguiente si yo no configuro el equipo con autenticacion PPOE sino que el proveedor me entregue la ip Publica no mas el funciona bien, pero como necesito que el equipo me haga este proceso ya no funciona, se han hecho descartes que el puerto se encuentre bien aperturado las reglas ok se han corrido test todo esta bien, pensaba que fuera el ftp Filezilla, y lo cambie por la configuración interna propia del servidor y pues no funciona lo me permite desde afuera, por que localmente si puedo acceder a el ftp://
Lo que yo necesito es poder compartir una carpeta que tengo en el servidor que esta dentro de la red del pfsense, y que la puedar visualizar editar cliente externos, se me ocurrio por medio de ftp no se si haya otra manera pues no he podido con esto, gracias de antemano
-
Estoy teniendo el mismo problema acá comentado. Tengo 2 sitios ftp a los que se acceden a través de una de las IP de mi ISP. Estaban funcionando sin problemas y ayer al migrar mi firewall a PFSense, me dejaron de responder.
Si bien me conecta, no me lista los archivos, ya se por línea de comando (150 Opening ASCII mode data connection) o probé con Filezilla (error al recuperar el listado del directorio).
Si pruebo acceder a los sitios ftp desde la lan, por su IP interna, puedo acceder y listar archivos sin problemas. El inconveniente lo tengo cuando quiero acceder desde la IP pública.
Alguien ha tenido este inconveniente? -
Buen día. Estoy teniendo inconvenientes con el acceso a sitios FTP a través de una IP pública.
Mi ISP me asigna varias IP públicas, yo configuré una de las IP a la interface y el resto las di de alta como Virtual IPs.
En la parte de NAT -> Port Forward configuré que todo lo que ingrese por una de las IP Virtuales por los puertos 20-21 vaya a la IP de la LAN donde tengo el sitio FTP configurado en un IIS.
Si intento acceder a través de la IP pública al sitio, me logro conectar pero no me devuelve el listado de archivos. Si pruebo acceder al sitio FTP desde una PC de la LAN apuntando a su IP internet, logro conectarme y ver el listado de archivos sin problemas.
A qué puede deberse este inconveniente?
Cualquier otro dato que necesiten quedo a disposición.
Muchas gracias!PD: Los sitios estaban funcionando sin problema con otro firewall. Migré a PFSense y dejaron de responder por la IP pública asique creo que es algo de configuración del PFSense.
-
Revisa:
https://doc.pfsense.org/index.php/FTP_Troubleshooting
https://doc.pfsense.org/index.php/FTP_without_a_Proxy
-
Ya he revisado esos links pero no logro que funcione.
Ahora a través de Filezilla puedo conectar y listar el contenido de los directorios sin problemas.
Por línea de comando sigo sin poder listar los archivos:ftp xxx.xxx.xxx.xxx
331 Password required
230 User logged in
ls
200 PORT command successful
150 Opening ASCII mode data connectionAsí queda.
Edito: con cualquier aplicación funciona sin problema el FTP, excepto a través de línea de comando.
Cuando me conecto pruebo con "quote pasv" para que ingrese en modo pasivo pero de igual manera no funciona.
