Dificuldades com FTP passivo

isaiasbertin

EU TINHA RODANDO ISSO NO DEBIAN, MIGREI PARA O PF FOI SHOW MAIS CARA FIQUEI FERADO NISSO AGORA, POIS TENHO REPRESENTANTES QUE USAM ISSO, NÃO TINHA ME PREOCUPADO POIS TEM ISSO FUNCIONANDO NO PFSENSE 2.2.6 AGORA NA VERSÃO MAIS NOVA NÃO TEM JEITO.

SERA QUE O MARCELO NÃO PODE DAR UMA MÃO PARA NOS, OU ATE CRIAR UM VIDEO SYSGUARD SOBRE ISSO, CARA ATÉ PAGO

pskinfra

@welrbraga:

Salve todos,

Migrei recentemente de um firewall Linux+iptables para o Pfsense (2.3.4) e embora possa dizer que a migração foi um sucesso esteja tudo operacional, estou enfrentando algumas dificuldades que não consegui resolver, mesmo encontrando no forum e no google problemas similares cujas soluções não me atenderam.

Peço então a ajuda dos/das colegas para resolver estas dificuldades, mas vou colocar cada problema em uma mensagem separada para não complicar a possível solução.

Meu cenário é o seguinte:
No Pfsense eu tenho 3 placas de rede configuradas como WAN, LAN e SERVER_I.

O problema é:
Das estações na LAN eu consigo conectar ao servidor FTP em SERVER_1, tanto em modo ativo quanto passivo (isso é stá OK).
Mas da WAN só consigo conectar em modo ativo, quando mudo para passivo não consigo mais enviar nem receber nada (este é o problema).

A única rule em SERVER_I é para passar tudo:
2.673 K/1.20 GiB IPv4 * SERVER_I net * * * * none

Da mesma forma, em LAN:
12.162 K/649.63 GiB IPv4 * LAN net * * * * none

Na WAN eu tenho um NAT 1:1 apontando um IP virtual externo para o IP real da máquina em SERVER_I
Além das regras abaixo.
0 /208 KiB IPv4 TCP * * FTPSERVER 20 - 21 * none
0 /0 B IPv4 TCP * 20 FTPSERVER 1024 - 65535 * none

Inclusive já coloquei uma regra mais permissiva no topo da lista mas também não deu jeito.
0 /0 B IPv4 TCP * * FTPSERVER * * none

Analisando a saída do sniffer com Diagnostic / Packet Capture eu notei que todo o tráfego ocorre sem problemas até eu entrar com o comando PASV. A partir daí os pacotes começam a ser retransmitidos como se vê na captura anexa tirada do Wireshark.

Vocês poderiam me dar uma ajuda com este problema?

grato.

Fera welrbraga, além de conexões tcp 21/22 do ftp, você inseriu o range de portas do modo passivo ?

Na saída do seu tráfego, o pacote tenta ser retransmitido pois possivelmente no campo "offset" não deve está havendo fragmentação. Ele mostra apenas mostra aí o tamanho do pacote que deve ser endereçado (buffer ) no destino.

Att,

isaiasbertin

vou mandar as telas para os colegas dar uma olhada

isaiasbertin

ERRO TELA PASSIVO

isaiasbertin

segue a tela em que não log como passivo

pskinfra

@isaiasbertin:

segue a tela em que não log como passivo

Olhe o que escrevi e essa tela fera.
Realize mais o "troubleshooting".

Abraços

isaiasbertin

deslcula pskinfra

fiquei meio confuso, conseguiu uma solução para ftp passivo no pfsense?

pskinfra

sim.  8)

isaiasbertin

como fez as liberações e direcionamentos de portas

pskinfra

@isaiasbertin:

como fez as liberações e direcionamentos de portas

link1: https://doc.pfsense.org/index.php/FTP_Troubleshooting#FTP_Ports
link2: https://doc.pfsense.org/index.php/FTP_Troubleshooting

isaiasbertin

devo estar com problema mas estes itens não estão funcionando para mim somente ativo

isaiasbertin

habilitei Enable the FTP Proxy.

debug.pfftpproxy 0
debug.pfftpports 21

mas sem sucesso