Ruleset verhält sich inkonsistent

krischeu

Hi,
ich habe ein Problem mit aktivem FTP auf einem Server in der DMZ.
Ich konnte noch bis vor 5 Minuten auf einen Server per aktivem FTP zugreifen.
Dann habe ich eine Regel dupliziert und bei dem duplizierten die Regel geändert.

Die Regel habe ich Disabled. Jetzt geht aber auch die Verbindung zum ersten Server nicht mehr, obwohl der Zustand der gleiche sein sollte, wie vor der Änderung.

Jemand eine Idee?

hbauer

Vielleicht State löschen?

https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

krischeu

Hi,
Danke für den Tip. Hat nix gebracht.
Ich boote mal die Firewall heute mittag. Eventuell tut sich da was.
Grüße
Heinz

JeGr

Ich würde sagen States und Firewall Logs clearen, dann FTP testen und in die Logs schauen, was warum geblockt wird. Das hilft dann schonmal weiter. :)

krischeu

Hi,
States gelöscht.
Firewall ist neu gestartet. Wenn ich hier schaue:    Status / System / Logs / Firewall / Normal View
Als Filter meine ZielIP drin habe, kommt nur das hier:

krischeu

Hi,
ich hab den FTP Client Filezilla mal von Standard auf aktiv gesetzt. Jetzt geht es. Wenn ich direkt im passenden Subnetz bin, geht es auch, wenn es auf Standard steht.

Geblockt sehe ich nix. Siehe oben.

Grüße

Heinz

JeGr

ich hab den FTP Client Filezilla mal von Standard auf aktiv gesetzt. Jetzt geht es. Wenn ich direkt im passenden Subnetz bin, geht es auch, wenn es auf Standard steht.

Dass du innerhalb vom Subnetz natürlich egal welchen Modus nutzen kannst ist klar, hier wird dann ja von der Firewall nichts geblockt da der Traffic da nie ankommt ;) Ansonsten waren die Einstellungen in deinen Regel ja nur für aktives FTP konfiguriert, ich vermute Filezilla hat default versucht das aber passiv zu machen. Du hast noch dazu im falschen Log gesucht, dein Problem war nicht das ausgehende Signal von INTERN, sondern das zurück kommende von der DMZ. Denn der Connect klappt ja (also Kommunikationsport 12365), nur die Datenverbindung nicht -> bei aktivem FTP dann VON 12365 DMZ nach INTERN, dann musst du auch als Source nach deiner IP filtern ;)

Aber wie gesagt, mit aktivem FTP sollte da jetzt alles funktionieren, das ist - solang du DMZ und INTERN selbst kontrollierst - hier auch von den Regeln einfacher als Passiv mit custom Port Ranges zu konfigurieren.

Gruß Jens

krischeu

Wie muß ich denn suchen, daß ich was geblocktes sehe?

JeGr

Wie gesagt, nach der IP VON der es kam oder ZU der es ging. Ich weiß ja gerade nicht was du suchen möchtest ;)