Problema accesso ftp
-
Buongiorno, sono nuovo di questo forum ed anche alle prime armi con Pfsense…
Vi spiego il mio problema, dall'interno della rete aziendale, da sempre riusciamo a collegarci agli ftp dei nostri clienti senza problemi.
Ultimamente abbiamo acquistato una VM con win 2012 server su Fastweb, dove abbiamo configurato un accesso ftp al quale riusciamo ad accedere, solo in modalita attiva ( che di per se non sarebbe un problema) esclusivamenbyte dall'esterno della rete aziendale, per intenderci da casa dai vari device collegati in 4g o da qualunque postazione al di fuori della nostra rete.
Se proviamo a collegarci dall'interno della nostra Lan, Filezilla riporta questo msg.
Ovviamente tra il Web e la nostra rete c'è di mezzo Pfsense.....Stato: Connessione stabilita, in attesa del messaggio di benvenuto...
Stato: Server non sicuro, non supporta FTP su TLS.
Stato: Accesso effettuato
Stato: Lettura elenco cartelle...
Comando: PWD
Risposta: 257 "/" is current directory.
Comando: TYPE I
Risposta: 200 Type set to I.
Comando: PORT 10,0,0,189,215,100
Errore: Disconnesso dal server: ECONNABORTED - Connessione interrotta
Errore: Non è stato possibile leggere il contenuto della cartellaIl priblema, ribadisco, è che questo succede solo con questo FTP...
Sugerimenti....?
Grazie in anticipo -
Aggiornamento…con una vecchia versione di Pfsense funziona tutto regolarmente.
Cosa è cambiato nelle ultime versioni ? -
FTP purtroppo è una brutta bestia che richiede 2 porte per funzionare…. retaggio di anni in cui gli host avevano tutti ip pubblici e non dietro nat e firewall.
La 21 che è nota, e poi la secondo viene negoziata frà client e server o viceversa se modalità attiva o passiva.
quì un documento che spiega un pò la cosa:
http://www.pfsenseitaly.com/2015/04/configurare-pfsense-per-garantire.html
Sulle vecchie versioni di pfsense (fino alla 2.2 mi pare), se non ricordo male c'èra, a livello di firewall o kernel (non ricordo bene), una roba simile a quello che in linux iptables è il moduleo ip_conntrack_ftp, che, con una sorta di man in the middle, tiene traccia delle porte che si scambiano client e server e le apre sul firewall.
Sulle ultime versioni di pfsense questa cosa è stata tolta, ecco perchè forse non ti funziona.
Posso suggerirti un paio di soluzioni da provare:- installi su pfsense, il pacchetto ftp_proxy, che trovi sulla lista dei package disponibili (dovrebbe esserci ancora)
- Configuri il tuo server remoto in W2012 anche come ftp passivo. Per farlo però, se non ricordo male, su IIS lo puoi fare solo se lo configuri anche con ftp-ssl e quindi devi generarti un certificato (anche selfsigned va ben lo stesso, avviso a parte quando fai la connessione) e devi anche porgli nella configurazione, con quale ip pubblico si presenta al mondo. Da quello che vedo nel tuo post, il server si fa presenta con l'ip 10.0.0.189, che credo però sia l'ip privato della vm
-
FTP purtroppo è una brutta bestia che richiede 2 porte per funzionare…. retaggio di anni in cui gli host avevano tutti ip pubblici e non dietro nat e firewall.
La 21 che è nota, e poi la secondo viene negoziata frà client e server o viceversa se modalità attiva o passiva.
quì un documento che spiega un pò la cosa:
http://www.pfsenseitaly.com/2015/04/configurare-pfsense-per-garantire.html
Sulle vecchie versioni di pfsense (fino alla 2.2 mi pare), se non ricordo male c'èra, a livello di firewall o kernel (non ricordo bene), una roba simile a quello che in linux iptables è il moduleo ip_conntrack_ftp, che, con una sorta di man in the middle, tiene traccia delle porte che si scambiano client e server e le apre sul firewall.
Sulle ultime versioni di pfsense questa cosa è stata tolta, ecco perchè forse non ti funziona.
Posso suggerirti un paio di soluzioni da provare:- installi su pfsense, il pacchetto ftp_proxy, che trovi sulla lista dei package disponibili (dovrebbe esserci ancora)
- Configuri il tuo server remoto in W2012 anche come ftp passivo. Per farlo però, se non ricordo male, su IIS lo puoi fare solo se lo configuri anche con ftp-ssl e quindi devi generarti un certificato (anche selfsigned va ben lo stesso, avviso a parte quando fai la connessione) e devi anche porgli nella configurazione, con quale ip pubblico si presenta al mondo. Da quello che vedo nel tuo post, il server si fa presenta con l'ip 10.0.0.189, che credo però sia l'ip privato della vm
Prima di tutto grazie per la risposta, daro un'occhiata al link che hai sugerito e seguiro le tue indicazioni
10.0.0.189 in realtà è l'ip del client dal quale cerco di collegarmi- -
Risolto installando il pacchetto ftp_proxy.
Grazie mille ;) ;)