Firewall не дает копировать файлы на FTP.



  • доброго времени! не копируются файлы на FTP сервер:

    • есть удаленный FTP сервер
    • с pf на FTP-сервер настроен маршрут
    • через проводник по адресу FTP-сервера захожу на него, пытаюсь что нибудь скопировать на FTP-сервер, а он ругается мол нет прав и все такое, хотя все права какие можно есть
    • так же в фаерволе есть правило на LAN такого типа альяс с определенными IP адресами
      так вот когда копирование файлов на FTP-сервер происходит с IP адресов из этого правила, то он ругается как будто нет прав на перемещение и копирование
      с остальных ПК не попадающих под это правило все нормально, так же когда отключаю это правило то и с этих IP адресов начинает работать, но отключить я его совсем не могу, так как оно мне нужно для того что бы определенные клиенты ходили в интернет напрямую., в чем может быть дело?


  • А остальные компьютеры не через прокси ходят?
    https://doc.pfsense.org/index.php/FTP_Troubleshooting



  • @PbIXTOP:

    А остальные компьютеры не через прокси ходят?
    https://doc.pfsense.org/index.php/FTP_Troubleshooting

    остальные через прокси, прокси не прозрачный.
    почитал ссылку которую вы дали, я так понимаю в моем случае нужно подключение на FTP без прокси-сервера, что судя из статьи настоятельно не рекомендуется, если у меня с клиентов которые ходят через прокси сервер все нормально с копированием на FTP, то пакет FTP Client Proxy я так понимаю не нужно устанавливать (Клиент Позади pfSense), а  для клиентов которые напрямую ходят (Сервер Позади pfSense) нужно открыть порт 21 за NAT или…или я чет не так понимаю? и сконфигурировать файл vsftpd.conf ? который у себя я не нашел...
    попробовал создал правило на LAN типа:   но не помогло.



  • кто нибудь есть живой? подскажите почему может данное правило блокировать копирование и перемещение файлов? какое то может дополнительное правило нужно.



  • помогите кто нибудь, уже 150 разных правил создавал не могу копировать файлы на FTP, пока не отключу правило которое на скрине, каждый раз отключать его когда нужно что то скопировать на FTP надоело уже, что нужно сделать?



  • Надеюсь вы прочитали теорию до конца, и поняли как работают активные-пасивные режимы передачи FTP?
    Кстати картинки не стоит выкладывать на левые ресурсы и ссылаться на них - некоторые их просто не видят.
    Если при включение правила что-то работает-не работает можно снять dump передачи данных на интерфейсах чтоб понимать, где и как передаються данные



  • @PbIXTOP:

    Надеюсь вы прочитали теорию до конца, и поняли как работают активные-пасивные режимы передачи FTP?
    Кстати картинки не стоит выкладывать на левые ресурсы и ссылаться на них - некоторые их просто не видят.
    Если при включение правила что-то работает-не работает можно снять dump передачи данных на интерфейсах чтоб понимать, где и как передаються данные

    • да прочитал, как я понял активный и пассивный отличаются между собой стороной выступающей инициатором подключения для передачи данных и портами, на которых передача происходит. в активном режиме, управляющее соединение инициируется со стороны клиента, а подключение для передачи данных инициируется со стороны сервера а в пассивном режиме, как управляющее соединение так и соединение для передачи данных инициируется клиентом.
    • как здесь выкладывать скрины подскажите?
    • подскажите пожалуйста что бы снять dump какую команду нужно использовать? т.е у меня сейчас со включенным правилом в котором стоит any (все протоколы) какую команду нужно? если бы у меня в правиле был бы протокол к примеру TCP, то снимал бы я dump такой командой tcpdump -i интерфейс LAN, а если протокол any то как?


  • с включенным правилом:

    09:48:07.293205 IP 192.168.50.5.63647 > 192.168.33.3.ftp: Flags [R.], seq 3251320372, ack 2084296184, win 0, length 0
    09:48:07.293256 IP 192.168.50.5.63647 > 192.168.33.3.ftp: Flags [R.], seq 0, ack 1, win 0, length 0
    09:48:07.294046 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags ~~, seq 1555164094, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    09:48:07.294085 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags ~~, seq 1555164094, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    09:48:07.300732 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 948678187, win 1024, length 0
    09:48:07.300756 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 1, win 1024, length 0
    09:48:07.307673 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 28, win 1023, length 0
    09:48:07.307712 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 28, win 1023, length 0
    09:48:07.307990 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 0:16, ack 28, win 1023, length 16
    09:48:07.308015 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 0:16, ack 28, win 1023, length 16
    09:48:07.319493 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 100, win 1023, length 0
    09:48:07.319505 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 100, win 1023, length 0
    09:48:07.319837 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 16:28, ack 100, win 1023, length 12
    09:48:07.319842 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 16:28, ack 100, win 1023, length 12
    09:48:07.326868 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 164, win 1023, length 0
    09:48:07.326872 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 164, win 1023, length 0
    09:48:07.327576 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 185, win 1023, length 0
    09:48:07.327580 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 185, win 1023, length 0
    09:48:07.327883 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 28:42, ack 185, win 1023, length 14
    09:48:07.327887 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 28:42, ack 185, win 1023, length 14
    09:48:07.334319 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 243, win 1023, length 0
    09:48:07.334343 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 243, win 1023, length 0
    09:48:07.337207 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 42:47, ack 243, win 1023, length 5
    09:48:07.337231 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 42:47, ack 243, win 1023, length 5
    09:48:07.343434 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 274, win 1022, length 0
    09:48:07.343458 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 274, win 1022, length 0
    09:48:07.343801 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 47:59, ack 274, win 1022, length 12
    09:48:07.343826 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 47:59, ack 274, win 1022, length 12
    09:48:07.351203 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 303, win 1022, length 0
    09:48:07.351227 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 303, win 1022, length 0
    09:48:07.351534 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 59:74, ack 303, win 1022, length 15
    09:48:07.351558 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [P.], seq 59:74, ack 303, win 1022, length 15
    09:48:07.358069 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 352, win 1022, length 0
    09:48:07.358094 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 352, win 1022, length 0
    09:48:09.650566 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [F.], seq 74, ack 352, win 1022, length 0
    09:48:09.650590 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [F.], seq 74, ack 352, win 1022, length 0
    09:48:09.657416 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 352, win 1022, length 0
    09:48:09.657439 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 352, win 1022, length 0
    09:48:09.657485 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 353, win 1022, length 0
    09:48:09.657490 IP 192.168.50.5.64567 > 192.168.33.3.ftp: Flags [.], ack 353, win 1022, length 0

    с выключенным правилом:

    09:57:32.355719 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13092173:13093581, ack 1, win 1024, length 1408
    09:57:32.355727 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13092173:13093581, ack 1, win 1024, length 1408
    09:57:32.355817 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13093581:13094773, ack 1, win 1024, length 1192
    09:57:32.355822 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13093581:13094773, ack 1, win 1024, length 1192
    09:57:32.357062 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13094773:13096181, ack 1, win 1024, length 1408
    09:57:32.357068 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13094773:13096181, ack 1, win 1024, length 1408
    09:57:32.357182 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13096181:13097589, ack 1, win 1024, length 1408
    09:57:32.357187 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13096181:13097589, ack 1, win 1024, length 1408
    09:57:32.358603 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13097589:13098997, ack 1, win 1024, length 1408
    09:57:32.358609 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13097589:13098997, ack 1, win 1024, length 1408
    09:57:32.358722 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13098997:13100405, ack 1, win 1024, length 1408
    09:57:32.358727 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13098997:13100405, ack 1, win 1024, length 1408
    09:57:32.360539 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13100405:13101813, ack 1, win 1024, length 1408
    09:57:32.360544 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13100405:13101813, ack 1, win 1024, length 1408
    09:57:32.360662 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13101813:13103221, ack 1, win 1024, length 1408
    09:57:32.360668 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13101813:13103221, ack 1, win 1024, length 1408
    09:57:32.360777 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13103221:13104629, ack 1, win 1024, length 1408
    09:57:32.360782 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13103221:13104629, ack 1, win 1024, length 1408
    09:57:32.360896 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13104629:13106037, ack 1, win 1024, length 1408
    09:57:32.360900 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13104629:13106037, ack 1, win 1024, length 1408
    09:57:32.361014 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13106037:13107445, ack 1, win 1024, length 1408
    09:57:32.361019 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13106037:13107445, ack 1, win 1024, length 1408
    09:57:32.361133 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13107445:13108853, ack 1, win 1024, length 1408
    09:57:32.361138 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13107445:13108853, ack 1, win 1024, length 1408
    09:57:32.362129 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13108853:13110261, ack 1, win 1024, length 1408
    09:57:32.362134 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13108853:13110261, ack 1, win 1024, length 1408
    09:57:32.362246 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13110261:13111669, ack 1, win 1024, length 1408
    09:57:32.362251 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13110261:13111669, ack 1, win 1024, length 1408
    09:57:32.362366 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13111669:13113077, ack 1, win 1024, length 1408
    09:57:32.362371 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13111669:13113077, ack 1, win 1024, length 1408
    09:57:32.362486 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13113077:13114485, ack 1, win 1024, length 1408
    09:57:32.362491 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13113077:13114485, ack 1, win 1024, length 1408
    09:57:32.362580 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13114485:13115603, ack 1, win 1024, length 1118
    09:57:32.362585 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13114485:13115603, ack 1, win 1024, length 1118
    09:57:32.363509 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13115603:13117011, ack 1, win 1024, length 1408
    09:57:32.363514 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13115603:13117011, ack 1, win 1024, length 1408
    09:57:32.363627 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13117011:13118419, ack 1, win 1024, length 1408
    09:57:32.363632 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13117011:13118419, ack 1, win 1024, length 1408
    09:57:32.365498 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13118419:13119827, ack 1, win 1024, length 1408
    09:57:32.365504 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13118419:13119827, ack 1, win 1024, length 1408
    09:57:32.367421 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13119827:13121235, ack 1, win 1024, length 1408
    09:57:32.367428 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13119827:13121235, ack 1, win 1024, length 1408
    09:57:32.367539 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13121235:13122643, ack 1, win 1024, length 1408
    09:57:32.367544 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13121235:13122643, ack 1, win 1024, length 1408
    09:57:32.368504 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13094773:13096181, ack 1, win 1024, length 1408
    09:57:32.368509 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13094773:13096181, ack 1, win 1024, length 1408
    09:57:32.370539 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13122643:13124051, ack 1, win 1024, length 1408
    09:57:32.370544 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13122643:13124051, ack 1, win 1024, length 1408
    09:57:32.370662 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13124051:13125459, ack 1, win 1024, length 1408
    09:57:32.370668 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13124051:13125459, ack 1, win 1024, length 1408
    09:57:32.372595 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13125459:13126867, ack 1, win 1024, length 1408
    09:57:32.372600 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [.], seq 13125459:13126867, ack 1, win 1024, length 1408
    09:57:32.372712 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13126867:13128275, ack 1, win 1024, length 1408
    09:57:32.372717 IP 192.168.50.5.58570 > 192.168.33.3.64302: Flags [P.], seq 13126867:13128275, ack 1, win 1024, length 1408~~~~



  • В дампе видно в первом случае только порт команд
    Во втором только данные.
    Причем в обоих случаях только в одном направлении, как будто у вас асиметричная сеть.



  • @PbIXTOP:

    В дампе видно в первом случае только порт команд
    Во втором только данные.
    Причем в обоих случаях только в одном направлении, как будто у вас асиметричная сеть.

    т.е пакеты уходят от меня одним путем а возвращаются совсем по другому пути а не в обратном направлении, т.е по сути требуется другое построение сети или оттуда куда у меня уходят пакеты нужна обратная маршрутизация?



  • @Guf-Rolex-X:

    @PbIXTOP:

    В дампе видно в первом случае только порт команд
    Во втором только данные.
    Причем в обоих случаях только в одном направлении, как будто у вас асиметричная сеть.

    т.е пакеты уходят от меня одним путем а возвращаются совсем по другому пути а не в обратном направлении, т.е по сути требуется другое построение сети или оттуда куда у меня уходят пакеты нужна обратная маршрутизация?

    По снятому дампу выходит что так.



  • @PbIXTOP:

    @Guf-Rolex-X:

    @PbIXTOP:

    В дампе видно в первом случае только порт команд
    Во втором только данные.
    Причем в обоих случаях только в одном направлении, как будто у вас асиметричная сеть.

    т.е пакеты уходят от меня одним путем а возвращаются совсем по другому пути а не в обратном направлении, т.е по сути требуется другое построение сети или оттуда куда у меня уходят пакеты нужна обратная маршрутизация?

    По снятому дампу выходит что так.

    понял, спасибо!


Log in to reply