Ftp Datasus pfsense não se conecta



  • Boa tarde,
    Tudo bem?

    Senhores,
    Não sei se alguém de vocês já passou por este problema. Existe um software do governo, o Datasus, que todos os meses gera um banco de dados e pra cada setor que utiliza este software, quando o banco é gerado, ele é enviado para um endereço de ftp,  no qual o endereço é 189.28.143.164, configurado dentro deste software. Já testei sem o pfsense, e quando o pfsense está fora ou seja, a rede está pura, o software funciona perfeitamente encontrando o seu destino, no caso o IP citado. Com muita dificuldade conseguimos contatar o pessoal de rede do Datasus para também verificar se nosso IP público estava de alguma forma bloqueado para acesso aquele endereço e o mesmo não está! O software também usa o IP citado para atualizações do software do Datasus.

    Alguém sabe porque acontece isso ou qual a solução para consertar esse problema ou enfim, uma luz do que é possível ser feito?

    Muito Obrigado pela atenção e ajuda!

    Douglas



  • Boa tarde Amigo,

    Explica o teu cenário, tipo…

    1. O PF está na borda, ou seja, ele mesmo faz conexão com a internet ou ele não está depois de um roteador?
    2. Usa proxy, se sim, qual tipo, transparente ?

    atc,
    CsMelo



  • olá!
    Boa tarde

    O cenário é assim:

    Internet - roteador - Pfsense - rede interna e MPLS (roteado pra várias outras pontas)
    Proxy transparente

    Então, a rede de uma das pontas  utiliza esse software da Datasus, e todos os meses eles precisam gerar esse banco de dados que dentro desse software envia pelo endereço citado anteriormente. Até 2 meses atrás sempre funcionou e desde então ele não encontra/ou fica bloqueado.

    Muito Obrigado

    Douglas



  • Já experimentou colocar o endereço na lista de bypass do proxy? Em Services -> Proxy Server -> Bypass proxy for these destination IPs



  • Bom dia!

    jao_mezari,

    Fiz o que vc indicou mas não obtive sucesso! É necessário reiniciar o firewall?
    Reiniciei o squid, mas mesmo assim não funcionou

    Mas, muito obrigado pela atenção por enquanto

    Douglas



  • @doguibnu:

    Bom dia!

    jao_mezari,

    Fiz o que vc indicou mas não obtive sucesso! É necessário reiniciar o firewall?
    Reiniciei o squid, mas mesmo assim não funcionou

    Mas, muito obrigado pela atenção por enquanto

    Douglas

    Não, bastaria no máximo reiniciar o squid como você fez. Você pode fazer um teste também e colocar o IP de origem da máquina que está fazendo a conexão em Bypass proxy for these source IPs.

    É interessante tu rodar um tcpdump na rede para poder analisar melhor ou quem sabe com o Wireshark diretamente do computador que está fazendo a requisição para o IP que você falou.



  • Bom dia jao_mezari,

    eu precisaria que vc se puder, me auxilie a fazer o tcpdump e o wireshark por favor!
    Pode ser?

    Obrigado!

    Douglas



  • Faça a instalação do pacote FTP proxy… configure ele.. tive um problema parecido.



  • Olá! mantunespb

    Tudo bem?

    Nós ainda temos a versão 2.1.3 do Pfsense, e nele não consta esse pacote!
    Será que só atualizando?

    Obrigado pela atenção!



  • Complicado explicar por aqui amigo. O correto seria você dar uma pesquisada sobre o assunto no Google. Análise de pacotes vai te ajudar não somente nessa questão mas em outros futuros problemas também.

    Basicamente para rodar o tcpdump você precisa acessar o pfSense via SSH usando o putty (precisa liberar em System -> Advanced -> Enable Secure Shell, logar com o usuário root e selecionar a opção 8.

    No shell você deve rodar o parâmetro tcpdump -vvvvv -i suainterface host IP DESTINO

    Basicamente você está dizendo para ele analisar os pacotes em um nível de verbose na interface que deseja (LAN ou WAN) no host desejado, no caso o IP destino do servidor ali que você citou.

    Parece complicado mas assim que pegar a manha fica fácil. Como falei, dê uma lida e assista alguns tutorias sobre.



  • @mantunespb said in Ftp Datasus pfsense não se conecta:

    Faça a instalação do pacote FTP proxy… configure ele.. tive um problema parecido.

    Bom dia, mudamos nossa versão do pfsense para o 2.3.4 e instalei o pacote ftp proxy client
    Qual o tipo de configuração que vc fez para ele funcionar?

    Muito Obrigado

    Douglas



  • @doguibnu boa tarde. Si for apenas uma pessoa que usa esse ftp cria um alias com o ip desse micro cria uma regra de firewall que essa origem fica tudo liberado.



  • @edils0n-lima
    São vários usuários que usam o CNES do governo para enviar dados.
    É alguma coisa no Pfsense pois, quando desligamos o firewall e usamos a rede puramente funciona na hora, se ligar o pfsense ele não se deixa conectar no ftp do datasus. Já instalei esse pacote firewall proxy mas preciso saber se tem alguma configuração em especial nele.

    Que coisa isso!!
    Mas obrigado pela atenção



  • Com o tcpdump, você consegue ver até onde o trafego está indo. Provavelmente vai precisar criar uma regra de ftp ativo na wan com o ip do servidor datasus e a porta origem 20 .

    0_1528082924515_d8b057f6-9cc1-42e2-ad50-7df8ad65471a-image.png



  • Resolvido

    Passos:
    Install FTP client proxy package
    Go to Service - FTP client proxy
    Click to Select Enable the FTP proxy
    On Local Interface - Select Lan
    Clicar em salvar

    Go to Firewall-Rules-Wan
    New Rule
    Action: Pass
    Interface: Wan
    Protocol: TCP

    Source: Single host or alias
    IP: IP ftp service
    Source Port Range
    From: 21
    To: 249 (on my scenario)

    Destination: any
    Destination Port Range
    From: 21
    to: 249

    Clicar em salvar

    Por que a porta 249?

    O log do filezilla em uma rede fora do Pfsense mostrou isso:
    Response: 227 Entering Passive Mode (IP ftp service**,21,249**).

    Funcionou ok

    Agradeço a atenção de todos e a ajuda e um membro do forum o Johnpoz

    Obrigado

    Douglas



  • Ftp no modo passivo, sempre vai sortear uma porta alta para transferência. Pode ser que tenha que repetir procedimento outras vezes.



  • Certo marcelloc
    Mas vc teria outra sugestão de configuração?
    Nesse pfsense não tem regra para bloquear as portas altas. Então, pq não funcionava antes de fazer esta regra?

    Não consigo entender!

    Aqui dentro do nosso Pfsense temos configurado ranges de portas altas para ftp criados aqui dentro e funcionam anos já!

    Não entendo pq o pfsense bloqueia a ída até o ftp do datasus, quando não tinha essa regra pra funionar meia-boca, até saber como resolver isso!

    Obrigado



  • @doguibnu said in Ftp Datasus pfsense não se conecta:

    Certo marcelloc
    Mas vc teria outra sugestão de configuração?
    Nesse pfsense não tem regra para bloquear as portas altas. Então, pq não funcionava antes de fazer esta regra?

    Só o tcpdump vai te dar a resposta exata do problema. veja se pela wan, não está vindo uma conexão ftp ativo de volta, com porta origem 20.