Dificuldades com FTP passivo

pskinfra

@welrbraga:

Salve todos,

Migrei recentemente de um firewall Linux+iptables para o Pfsense (2.3.4) e embora possa dizer que a migração foi um sucesso esteja tudo operacional, estou enfrentando algumas dificuldades que não consegui resolver, mesmo encontrando no forum e no google problemas similares cujas soluções não me atenderam.

Peço então a ajuda dos/das colegas para resolver estas dificuldades, mas vou colocar cada problema em uma mensagem separada para não complicar a possível solução.

Meu cenário é o seguinte:
No Pfsense eu tenho 3 placas de rede configuradas como WAN, LAN e SERVER_I.

O problema é:
Das estações na LAN eu consigo conectar ao servidor FTP em SERVER_1, tanto em modo ativo quanto passivo (isso é stá OK).
Mas da WAN só consigo conectar em modo ativo, quando mudo para passivo não consigo mais enviar nem receber nada (este é o problema).

A única rule em SERVER_I é para passar tudo:
2.673 K/1.20 GiB IPv4 * SERVER_I net * * * * none

Da mesma forma, em LAN:
12.162 K/649.63 GiB IPv4 * LAN net * * * * none

Na WAN eu tenho um NAT 1:1 apontando um IP virtual externo para o IP real da máquina em SERVER_I
Além das regras abaixo.
0 /208 KiB IPv4 TCP * * FTPSERVER 20 - 21 * none
0 /0 B IPv4 TCP * 20 FTPSERVER 1024 - 65535 * none

Inclusive já coloquei uma regra mais permissiva no topo da lista mas também não deu jeito.
0 /0 B IPv4 TCP * * FTPSERVER * * none

Analisando a saída do sniffer com Diagnostic / Packet Capture eu notei que todo o tráfego ocorre sem problemas até eu entrar com o comando PASV. A partir daí os pacotes começam a ser retransmitidos como se vê na captura anexa tirada do Wireshark.

Vocês poderiam me dar uma ajuda com este problema?

grato.

Fera welrbraga, além de conexões tcp 21/22 do ftp, você inseriu o range de portas do modo passivo ?

Na saída do seu tráfego, o pacote tenta ser retransmitido pois possivelmente no campo "offset" não deve está havendo fragmentação. Ele mostra apenas mostra aí o tamanho do pacote que deve ser endereçado (buffer ) no destino.

Att,

isaiasbertin

vou mandar as telas para os colegas dar uma olhada

isaiasbertin

ERRO TELA PASSIVO

isaiasbertin

segue a tela em que não log como passivo

pskinfra

@isaiasbertin:

segue a tela em que não log como passivo

Olhe o que escrevi e essa tela fera.
Realize mais o "troubleshooting".

Abraços

isaiasbertin

deslcula pskinfra

fiquei meio confuso, conseguiu uma solução para ftp passivo no pfsense?

pskinfra

sim.  8)

isaiasbertin

como fez as liberações e direcionamentos de portas

pskinfra

@isaiasbertin:

como fez as liberações e direcionamentos de portas

link1: https://doc.pfsense.org/index.php/FTP_Troubleshooting#FTP_Ports
link2: https://doc.pfsense.org/index.php/FTP_Troubleshooting

isaiasbertin

devo estar com problema mas estes itens não estão funcionando para mim somente ativo

isaiasbertin

habilitei Enable the FTP Proxy.

debug.pfftpproxy 0
debug.pfftpports 21

mas sem sucesso