Dificuldades com FTP passivo

isaiasbertin

caro welrbraga

conseguiu resolver este problema pois estou na batalha e esta complicado
poderia postar como fez as regras de direciamento

welrbraga

@isaiasbertin:

caro welrbraga

conseguiu resolver este problema pois estou na batalha e esta complicado
poderia postar como fez as regras de direciamento

Infelizmente não, Isaias. Já estou com a versão 2.4.2 e ainda não achei uma solução para isso.

Para contornar o problema eu autorizei o acesso via SSH/SFTP para os usuários que estão tendo dificuldades e adotei o Fail2Ban no servidor FTP com o pfBlocker no pfSense, para banirem qualquer IP que tente se conectar por algumas vezes seguidas.

Não ficou elegante e tem me dado um pouco mais de trabalho para bloquear indevidamente alguém, além de ter perdido a restrição de visualização das pastas (chroot) mas foi a melhor solução que encontrei para o serviço não parar.

isaiasbertin

EU TINHA RODANDO ISSO NO DEBIAN, MIGREI PARA O PF FOI SHOW MAIS CARA FIQUEI FERADO NISSO AGORA, POIS TENHO REPRESENTANTES QUE USAM ISSO, NÃO TINHA ME PREOCUPADO POIS TEM ISSO FUNCIONANDO NO PFSENSE 2.2.6 AGORA NA VERSÃO MAIS NOVA NÃO TEM JEITO.

SERA QUE O MARCELO NÃO PODE DAR UMA MÃO PARA NOS, OU ATE CRIAR UM VIDEO SYSGUARD SOBRE ISSO, CARA ATÉ PAGO

pskinfra

@welrbraga:

Salve todos,

Migrei recentemente de um firewall Linux+iptables para o Pfsense (2.3.4) e embora possa dizer que a migração foi um sucesso esteja tudo operacional, estou enfrentando algumas dificuldades que não consegui resolver, mesmo encontrando no forum e no google problemas similares cujas soluções não me atenderam.

Peço então a ajuda dos/das colegas para resolver estas dificuldades, mas vou colocar cada problema em uma mensagem separada para não complicar a possível solução.

Meu cenário é o seguinte:
No Pfsense eu tenho 3 placas de rede configuradas como WAN, LAN e SERVER_I.

O problema é:
Das estações na LAN eu consigo conectar ao servidor FTP em SERVER_1, tanto em modo ativo quanto passivo (isso é stá OK).
Mas da WAN só consigo conectar em modo ativo, quando mudo para passivo não consigo mais enviar nem receber nada (este é o problema).

A única rule em SERVER_I é para passar tudo:
2.673 K/1.20 GiB IPv4 * SERVER_I net * * * * none

Da mesma forma, em LAN:
12.162 K/649.63 GiB IPv4 * LAN net * * * * none

Na WAN eu tenho um NAT 1:1 apontando um IP virtual externo para o IP real da máquina em SERVER_I
Além das regras abaixo.
0 /208 KiB IPv4 TCP * * FTPSERVER 20 - 21 * none
0 /0 B IPv4 TCP * 20 FTPSERVER 1024 - 65535 * none

Inclusive já coloquei uma regra mais permissiva no topo da lista mas também não deu jeito.
0 /0 B IPv4 TCP * * FTPSERVER * * none

Analisando a saída do sniffer com Diagnostic / Packet Capture eu notei que todo o tráfego ocorre sem problemas até eu entrar com o comando PASV. A partir daí os pacotes começam a ser retransmitidos como se vê na captura anexa tirada do Wireshark.

Vocês poderiam me dar uma ajuda com este problema?

grato.

Fera welrbraga, além de conexões tcp 21/22 do ftp, você inseriu o range de portas do modo passivo ?

Na saída do seu tráfego, o pacote tenta ser retransmitido pois possivelmente no campo "offset" não deve está havendo fragmentação. Ele mostra apenas mostra aí o tamanho do pacote que deve ser endereçado (buffer ) no destino.

Att,