FTP правило в firewall [Решено]


  • Что есть: файер, в котором разрешены только конкретные сервисы, вконце листа правило, запрещающее всё для всех.

    Не работает FTP.

    Создал (через веб гуй) правило:

    Source             port     Destination  dest port   action
    LAN net           any         any          21             pass

    P.S. это правило находтся до (выше) запрета всего и вся. Включал/выключал FTP хелпер - не помогло.

    Проблема в том, что локальные компы не могут заходить на фтп сайты, к примеру не могу качать дрова сайта ftp://ftp.hp.com

    Спасибо за внимание, признателен за советы.


  • Насколько помню, для FTP надо два порта. Один для контроля, другой для данных. FTP бывает активный и пассивный. Вот здесь объясняют разницу:

    http://slacksite.com/other/ftp.html

    Насколько я понимаю, FTP-клиент, помимо 21 порта, пытается также стучаться и в порт данных сервера.

    UPD:
    Вот тут немного про это на русском:
    http://mynetnotes.livejournal.com/5952.html


  • Спасибо, в субботу попробую поглубже погонять правила.
    Сегодня в офисе пробовал разрешать доступ к указанным в ссылке портам (any to 20 21), разрешал доступ с этих портов к любым портам в локалке (20 21 -> to any port in local net). Эффекта 0. Если в файере всё разрешено для всех, то фтп ссылки открываются нормально.

    Кто как решает у себя такие проблемы?


  • Начните с включения FTPHelper на интерфейсах.
    2 ipse Активный режим FTP с 2 портами возможен только с ftphelper. Иначе-только пассивный с 1 портом.


  • @dvserg:

    Начните с включения FTPHelper на интерфейсах.
    2 ipse Активный режим FTP с 2 портами возможен только с ftphelper. Иначе-только пассивный с 1 портом.

    Раздел wan interface галка ftp helper снята (в лан тоже снята), в rules:

    lan port any to wan 20 21 pass

    wan port 20 21 to lan any port pass

    Всё равно не помогло…


  • @DasTieRR:

    lan port any to wan 20 21 pass
    wan port 20 21 to lan any port pass

    Это вы между интерфейсами разрешаете.. а так:

    // исходящие соединения клиента (пассив)
    LAN:  tcp/udp ANY port any to ANY port 21 pass
    WAN: tcp/udp ANY port any to ANY port 21 pass
    // входящий актив с сервера 20 порт на клиент ANY свободный порт ->> включить FTPHelper
    LAN:  tcp/udp ANY port 20 to ANY port any pass
    WAN: tcp/udp ANY port 20 to ANY port any pass


  • @dvserg:

    @DasTieRR:

    lan port any to wan 20 21 pass
    wan port 20 21 to lan any port pass

    Это вы между интерфейсами разрешаете.. а так:

    // исходящие соединения клиента (пассив)
    LAN:  tcp/udp ANY port any to ANY port 21 pass
    WAN: tcp/udp ANY port any to ANY port 21 pass
    // входящий актив с сервера 20 порт на клиент ANY свободный порт ->> включить FTPHelper
    LAN:  tcp/udp ANY port 20 to ANY port any pass
    WAN: tcp/udp ANY port 20 to ANY port any pass

    Попробую завтра (или уже сегодня, но утром :) ) спасибо


  • @dvserg:

    @DasTieRR:

    lan port any to wan 20 21 pass
    wan port 20 21 to lan any port pass

    Это вы между интерфейсами разрешаете.. а так:

    // исходящие соединения клиента (пассив)
    LAN:  tcp/udp ANY port any to ANY port 21 pass
    WAN: tcp/udp ANY port any to ANY port 21 pass
    // входящий актив с сервера 20 порт на клиент ANY свободный порт ->> включить FTPHelper
    LAN:  tcp/udp ANY port 20 to ANY port any pass
    WAN: tcp/udp ANY port 20 to ANY port any pass

    Попробовал как вы сказали, не помогло.
    Примечание: FTPhelper - галка disabled снята в разделе interfaces wan и lan. (пробовал с включённым и выключенным FTPhelper-ом)

    Всем спасибо за помощь, помогло следующее:
    http://doc.pfsense.org/index.php/FTP_Troubleshooting

    Разрешение трафика lan subnet port any to 127.0.0.1 port 8000-8030


  • Запости плиз скриншот правил рабочей конфигурации для ftp


  • @samurai:

    Запости плиз скриншот правил рабочей конфигурации для ftp

    FTP helper на wan выключен (галка disabled установлена), на Лан включён (галка disabled снята).