Ftp Datasus pfsense não se conecta

claylson

Boa tarde Amigo,

Explica o teu cenário, tipo…

1. O PF está na borda, ou seja, ele mesmo faz conexão com a internet ou ele não está depois de um roteador?
2. Usa proxy, se sim, qual tipo, transparente ?

atc,
CsMelo

doguibnu

olá!
Boa tarde

O cenário é assim:

Internet - roteador - Pfsense - rede interna e MPLS (roteado pra várias outras pontas)
Proxy transparente

Então, a rede de uma das pontas  utiliza esse software da Datasus, e todos os meses eles precisam gerar esse banco de dados que dentro desse software envia pelo endereço citado anteriormente. Até 2 meses atrás sempre funcionou e desde então ele não encontra/ou fica bloqueado.

Muito Obrigado

Douglas

jao_mezari

Já experimentou colocar o endereço na lista de bypass do proxy? Em Services -> Proxy Server -> Bypass proxy for these destination IPs

doguibnu

Bom dia!

jao_mezari,

Fiz o que vc indicou mas não obtive sucesso! É necessário reiniciar o firewall?
Reiniciei o squid, mas mesmo assim não funcionou

Mas, muito obrigado pela atenção por enquanto

Douglas

jao_mezari

@doguibnu:

Bom dia!

jao_mezari,

Fiz o que vc indicou mas não obtive sucesso! É necessário reiniciar o firewall?
Reiniciei o squid, mas mesmo assim não funcionou

Mas, muito obrigado pela atenção por enquanto

Douglas

Não, bastaria no máximo reiniciar o squid como você fez. Você pode fazer um teste também e colocar o IP de origem da máquina que está fazendo a conexão em Bypass proxy for these source IPs.

É interessante tu rodar um tcpdump na rede para poder analisar melhor ou quem sabe com o Wireshark diretamente do computador que está fazendo a requisição para o IP que você falou.

doguibnu

Bom dia jao_mezari,

eu precisaria que vc se puder, me auxilie a fazer o tcpdump e o wireshark por favor!
Pode ser?

Obrigado!

Douglas

mantunespb

Faça a instalação do pacote FTP proxy… configure ele.. tive um problema parecido.

doguibnu

Olá! mantunespb

Tudo bem?

Nós ainda temos a versão 2.1.3 do Pfsense, e nele não consta esse pacote!
Será que só atualizando?

Obrigado pela atenção!

jao_mezari

Complicado explicar por aqui amigo. O correto seria você dar uma pesquisada sobre o assunto no Google. Análise de pacotes vai te ajudar não somente nessa questão mas em outros futuros problemas também.

Basicamente para rodar o tcpdump você precisa acessar o pfSense via SSH usando o putty (precisa liberar em System -> Advanced -> Enable Secure Shell, logar com o usuário root e selecionar a opção 8.

No shell você deve rodar o parâmetro tcpdump -vvvvv -i suainterface host IP DESTINO

Basicamente você está dizendo para ele analisar os pacotes em um nível de verbose na interface que deseja (LAN ou WAN) no host desejado, no caso o IP destino do servidor ali que você citou.

Parece complicado mas assim que pegar a manha fica fácil. Como falei, dê uma lida e assista alguns tutorias sobre.

doguibnu

@mantunespb said in Ftp Datasus pfsense não se conecta:

Faça a instalação do pacote FTP proxy… configure ele.. tive um problema parecido.

Bom dia, mudamos nossa versão do pfsense para o 2.3.4 e instalei o pacote ftp proxy client
Qual o tipo de configuração que vc fez para ele funcionar?

Muito Obrigado

Douglas

EdIlS0N LiMa

@doguibnu boa tarde. Si for apenas uma pessoa que usa esse ftp cria um alias com o ip desse micro cria uma regra de firewall que essa origem fica tudo liberado.

doguibnu

@edils0n-lima
São vários usuários que usam o CNES do governo para enviar dados.
É alguma coisa no Pfsense pois, quando desligamos o firewall e usamos a rede puramente funciona na hora, se ligar o pfsense ele não se deixa conectar no ftp do datasus. Já instalei esse pacote firewall proxy mas preciso saber se tem alguma configuração em especial nele.

Que coisa isso!!
Mas obrigado pela atenção

marcelloc

Com o tcpdump, você consegue ver até onde o trafego está indo. Provavelmente vai precisar criar uma regra de ftp ativo na wan com o ip do servidor datasus e a porta origem 20 .

doguibnu

Resolvido

Passos:
Install FTP client proxy package
Go to Service - FTP client proxy
Click to Select Enable the FTP proxy
On Local Interface - Select Lan
Clicar em salvar

Go to Firewall-Rules-Wan
New Rule
Action: Pass
Interface: Wan
Protocol: TCP

Source: Single host or alias
IP: IP ftp service
Source Port Range
From: 21
To: 249 (on my scenario)

Destination: any
Destination Port Range
From: 21
to: 249

Clicar em salvar

Por que a porta 249?

O log do filezilla em uma rede fora do Pfsense mostrou isso:
Response: 227 Entering Passive Mode (IP ftp service**,21,249**).

Funcionou ok

Agradeço a atenção de todos e a ajuda e um membro do forum o Johnpoz

Obrigado

Douglas

marcelloc

Ftp no modo passivo, sempre vai sortear uma porta alta para transferência. Pode ser que tenha que repetir procedimento outras vezes.

doguibnu

Certo marcelloc
Mas vc teria outra sugestão de configuração?
Nesse pfsense não tem regra para bloquear as portas altas. Então, pq não funcionava antes de fazer esta regra?

Não consigo entender!

Aqui dentro do nosso Pfsense temos configurado ranges de portas altas para ftp criados aqui dentro e funcionam anos já!

Não entendo pq o pfsense bloqueia a ída até o ftp do datasus, quando não tinha essa regra pra funionar meia-boca, até saber como resolver isso!

Obrigado

marcelloc

@doguibnu said in Ftp Datasus pfsense não se conecta:

Certo marcelloc
Mas vc teria outra sugestão de configuração?
Nesse pfsense não tem regra para bloquear as portas altas. Então, pq não funcionava antes de fazer esta regra?

Só o tcpdump vai te dar a resposta exata do problema. veja se pela wan, não está vindo uma conexão ftp ativo de volta, com porta origem 20.