Ftp Datasus pfsense não se conecta
-
Boa tarde,
Tudo bem?Senhores,
Não sei se alguém de vocês já passou por este problema. Existe um software do governo, o Datasus, que todos os meses gera um banco de dados e pra cada setor que utiliza este software, quando o banco é gerado, ele é enviado para um endereço de ftp, no qual o endereço é 189.28.143.164, configurado dentro deste software. Já testei sem o pfsense, e quando o pfsense está fora ou seja, a rede está pura, o software funciona perfeitamente encontrando o seu destino, no caso o IP citado. Com muita dificuldade conseguimos contatar o pessoal de rede do Datasus para também verificar se nosso IP público estava de alguma forma bloqueado para acesso aquele endereço e o mesmo não está! O software também usa o IP citado para atualizações do software do Datasus.Alguém sabe porque acontece isso ou qual a solução para consertar esse problema ou enfim, uma luz do que é possível ser feito?
Muito Obrigado pela atenção e ajuda!
Douglas
-
Boa tarde Amigo,
Explica o teu cenário, tipo…
1. O PF está na borda, ou seja, ele mesmo faz conexão com a internet ou ele não está depois de um roteador?
2. Usa proxy, se sim, qual tipo, transparente ?atc,
CsMelo -
olá!
Boa tardeO cenário é assim:
Internet - roteador - Pfsense - rede interna e MPLS (roteado pra várias outras pontas)
Proxy transparenteEntão, a rede de uma das pontas utiliza esse software da Datasus, e todos os meses eles precisam gerar esse banco de dados que dentro desse software envia pelo endereço citado anteriormente. Até 2 meses atrás sempre funcionou e desde então ele não encontra/ou fica bloqueado.
Muito Obrigado
Douglas
-
Já experimentou colocar o endereço na lista de bypass do proxy? Em Services -> Proxy Server -> Bypass proxy for these destination IPs
-
Bom dia!
jao_mezari,
Fiz o que vc indicou mas não obtive sucesso! É necessário reiniciar o firewall?
Reiniciei o squid, mas mesmo assim não funcionouMas, muito obrigado pela atenção por enquanto
Douglas
-
Bom dia!
jao_mezari,
Fiz o que vc indicou mas não obtive sucesso! É necessário reiniciar o firewall?
Reiniciei o squid, mas mesmo assim não funcionouMas, muito obrigado pela atenção por enquanto
Douglas
Não, bastaria no máximo reiniciar o squid como você fez. Você pode fazer um teste também e colocar o IP de origem da máquina que está fazendo a conexão em Bypass proxy for these source IPs.
É interessante tu rodar um tcpdump na rede para poder analisar melhor ou quem sabe com o Wireshark diretamente do computador que está fazendo a requisição para o IP que você falou.
-
Bom dia jao_mezari,
eu precisaria que vc se puder, me auxilie a fazer o tcpdump e o wireshark por favor!
Pode ser?Obrigado!
Douglas
-
Faça a instalação do pacote FTP proxy… configure ele.. tive um problema parecido.
-
Olá! mantunespb
Tudo bem?
Nós ainda temos a versão 2.1.3 do Pfsense, e nele não consta esse pacote!
Será que só atualizando?Obrigado pela atenção!
-
Complicado explicar por aqui amigo. O correto seria você dar uma pesquisada sobre o assunto no Google. Análise de pacotes vai te ajudar não somente nessa questão mas em outros futuros problemas também.
Basicamente para rodar o tcpdump você precisa acessar o pfSense via SSH usando o putty (precisa liberar em System -> Advanced -> Enable Secure Shell, logar com o usuário root e selecionar a opção 8.
No shell você deve rodar o parâmetro tcpdump -vvvvv -i suainterface host IP DESTINO
Basicamente você está dizendo para ele analisar os pacotes em um nível de verbose na interface que deseja (LAN ou WAN) no host desejado, no caso o IP destino do servidor ali que você citou.
Parece complicado mas assim que pegar a manha fica fácil. Como falei, dê uma lida e assista alguns tutorias sobre.
-
@mantunespb said in Ftp Datasus pfsense não se conecta:
Faça a instalação do pacote FTP proxy… configure ele.. tive um problema parecido.
Bom dia, mudamos nossa versão do pfsense para o 2.3.4 e instalei o pacote ftp proxy client
Qual o tipo de configuração que vc fez para ele funcionar?Muito Obrigado
Douglas
-
@doguibnu boa tarde. Si for apenas uma pessoa que usa esse ftp cria um alias com o ip desse micro cria uma regra de firewall que essa origem fica tudo liberado.
-
@edils0n-lima
São vários usuários que usam o CNES do governo para enviar dados.
É alguma coisa no Pfsense pois, quando desligamos o firewall e usamos a rede puramente funciona na hora, se ligar o pfsense ele não se deixa conectar no ftp do datasus. Já instalei esse pacote firewall proxy mas preciso saber se tem alguma configuração em especial nele.Que coisa isso!!
Mas obrigado pela atenção -
Com o tcpdump, você consegue ver até onde o trafego está indo. Provavelmente vai precisar criar uma regra de ftp ativo na wan com o ip do servidor datasus e a porta origem 20 .
-
Resolvido
Passos:
Install FTP client proxy package
Go to Service - FTP client proxy
Click to Select Enable the FTP proxy
On Local Interface - Select Lan
Clicar em salvarGo to Firewall-Rules-Wan
New Rule
Action: Pass
Interface: Wan
Protocol: TCPSource: Single host or alias
IP: IP ftp service
Source Port Range
From: 21
To: 249 (on my scenario)Destination: any
Destination Port Range
From: 21
to: 249Clicar em salvar
Por que a porta 249?
O log do filezilla em uma rede fora do Pfsense mostrou isso:
Response: 227 Entering Passive Mode (IP ftp service**,21,249**).Funcionou ok
Agradeço a atenção de todos e a ajuda e um membro do forum o Johnpoz
Obrigado
Douglas
-
Ftp no modo passivo, sempre vai sortear uma porta alta para transferência. Pode ser que tenha que repetir procedimento outras vezes.
-
Certo marcelloc
Mas vc teria outra sugestão de configuração?
Nesse pfsense não tem regra para bloquear as portas altas. Então, pq não funcionava antes de fazer esta regra?Não consigo entender!
Aqui dentro do nosso Pfsense temos configurado ranges de portas altas para ftp criados aqui dentro e funcionam anos já!
Não entendo pq o pfsense bloqueia a ída até o ftp do datasus, quando não tinha essa regra pra funionar meia-boca, até saber como resolver isso!
Obrigado
-
@doguibnu said in Ftp Datasus pfsense não se conecta:
Certo marcelloc
Mas vc teria outra sugestão de configuração?
Nesse pfsense não tem regra para bloquear as portas altas. Então, pq não funcionava antes de fazer esta regra?Só o tcpdump vai te dar a resposta exata do problema. veja se pela wan, não está vindo uma conexão ftp ativo de volta, com porta origem 20.
