Passives FTP via PFsense (2.4.2)



  • Hallo zusammen,

    ich habe das Problem, dass bei einer PFSense durch ein Update das built-in FTP Proxy Modul fehlt und ich ohne diese Funktion kein passives FTP mehr auf die Beine bekomme.
    Die Authentifizierung klappt, aber die Data Connection über den passive Port schlägt mit dem Fehler 550 bzw. 425 fehl.
    Ich hab Tipps/Hinweise dazu gefunden, das mit Port-Forwarding, 1:1 NAT oder dem Package FTP_Client_Proxy zu lösen, krieg es aber einfach nicht gebacken.

    Aktuell bekomme ich über 2 unterschiedliche FTP Server Anwendungen entweder,
    … dass die PASV IP nicht passt.
    _  hier brauch ich dann noch wohl noch ein NAT o.ä., da der Server die Public IP für PASV zurücksendet, der Server aber mit der privaten IP angesprochen wird._

    … oder eben dass die Verbindung zwar klappt, nicht aber die Data Connection und es endet mit einem 550 Access denied Fehler beim Versuch den Home Pfad anzuzeigen.
    _  da ich hier einstellen kann, dass die private IP für PASV zurück meldet wenn der Server per privater IP angesprochen wird_

    Zur Infrastruktur noch:
    OnSite:
    Clients die Zugriff benötigen + PFSense mit IPSec Tunnel in die Cloud zu AWS

    Cloud:
    FTP Server mit interner (=anderes Subnet wie das der Clients) + public IP

    Kann mir jemand bitte dabei helfen, was hier an Konfiguration noch von Nöten ist?

    Besten Dank & viele Grüße


  • Moderator

    ich habe das Problem, dass bei einer PFSense durch ein Update das built-in FTP Proxy Modul fehlt und ich ohne diese Funktion kein passives FTP mehr auf die Beine bekomme.

    Das interne Modul ist jetzt als Proxy Package enthalten. Musst du aber selbst installieren (System / Packages)

    Ansonsten braucht es m.W. lediglich eine ausgehende Regel mit Allow auf Port 21. Der Proxy selbst sollte transparent funktionieren und damit dann auch aktives FTP funktionieren. Passiv bräuchte ja theoretisch keinen Proxy, da es eh alles abgehend ist und wenn dein Regelset von innen nach außen nicht stark filtert, sollte das OK sein.