Problemas con NAT de pfSense y cliente FTP



  • Hola a todos los listeros,

    Tengo ya hace algunas semanas un firewall pfSense con 3 tarjetas de red, una para la WAN, otra para la DMZ donde están los servidores y otra hacia la red de los clientes. En el firewall hay reglas de NAT y todo funciona bien, menos hacer NAT con los clientes FTP.

    LAN –-----FIREWALL-------WAN
    |
    |
    |
    DMZ

    Cuando un cliente FTP dentro de la DMZ al que le está permitido hacer NAT se conecta al servidor externo lo hace sin problemas pero si intenta listar para ver el contenido dentro del server FTP da un error que dice que no abrirá una conexión a 192.168.3.4 (ip del cliente FTP) sino a 172.16.0.3 (ip de la WAN del pfSense).

    Capturé paquetes con Wireshark y efectivamente se muetra como en uno de los paquetes se envia la dirección ip de la pc interna donde está el cliente ftp y la respuesta del servidor.

    Tengo habilitado el FTP-Proxy helper en las interfaces LAN y DMZ. Cuando accedo a un servidor FTP desde la LAN los mensajes son muy diferentes cuando accedo desde la DMZ. Si accedo al servidor FTP desde la LAN y ejecuto el comando dir o ls la respueta del servidor es que el comando PORT se envio con éxito. Cuando accedo al servidor FTP desde la DMZ y ejecuto el comando dir o ls la respueta del servidor es que no abrirá una conexión a 192.168.3.4 (IP del cliente FTP en la DMZ) solo a 172.16.0.3 (IP de la interfaz WAN).

    Tanto en la configuración de las interfaces LAN como de la DMZ está desmarcada la opción "Disable the userland FTP-Proxy application".

    En la pagina "http://www.ncftp.com/ncftpd/doc/misc/ftp_and_firewalls.html" explican en la sección "Why PORT Poses Problems for Routing Devices" que una de las soluciones es usar un mejor software para NAT porque el dispositivo no está modificandola IP interna con su ip externa.

    Esto es crítico para mi caso ya que por ejemplo el servidor de Kaspersky no se actualiza porque descarga los archivos desde un server FTP y otros servidores usan el comando ftp de Windows para hacer tareas programadas que en este momento no se están ejecutando bien.

    Pregunto lo siguiente:

    ¿Alguien de la lista ha tenido este problema con pfSense? ¿Dos interfaces internas y solo una WAN?

    ¿Puede pfSense modificar el paquete cuando hace NAT? ¿Que configuración debo hacer para logarlo?

    ¿Hay algún otro archivo de configuración además de /conf/config.xml que se pueda editar para lograr así que el FTP-Proxy helper funcione bien entre la DMZ y la WAN? (La DMZ es la interfaz opt1)?

    Saludos a todos y de antemano les agradezco por sus respuestas.

    joans4nz.


Locked