[RESOLVIDO] Problemas acessar FTP
-
Pessoal eu pesquisei antes no forum e as soluções passadas anteriormente não me ajudaram.
Após migrar para o PF tem um ftp que não consigo acessar via linha de comando.
Ele conecta eu consigo fazer o logon mas não consigo listar os diretorios nem executar nenhum comandoSegue os print
O priemiro é a configuração que pediram pra fazer em um dos post que eu li.
O segundo é o meu log mostrando a conexão realizada.
E o terceiro é o que aparece quando tento listar dentro do ftp deles.
-
O FTP ta reclamado de falta de comando.
"use pasv or port first"
Digite pasv antes do ls
-
Dá comando inválido.
Eu fiz em uma outra rede que eu tenho aqui que não passa por nenhum fw, e por ela a conexão foi normal consegui listar os diretórios perfeitamente.
E agora estou tendo problema com o meu ftp também. Se tentar conectar de fora no meu ftp em modo passivo da esse erro: Erro ao abrir pasta no servidor de FTP. Certifique-se de que voce tem permissão para acessar a pasta.
Eu já limitei o range de portas no iis e liberei as mesmas no fw e mesmo assim não vai =(.Não tem mais nada que eu possa fazer?
-
:(
-
Você tentou digitar passive no lugar de pasv?
-
Sim tentei, e nada não vai nem com bomba.
-
leandruco,
Você chegou a verificar este outro tópico: http://forum.pfsense.org/index.php/topic,39778.0.html
Veja que ele tem várias dicas importantes sobre o funcionamento de uma conexão FTP e como trabalhar "melhor" com elas no pfSense!
Abraços!
Jack -
Olá Jack já li tudo que vc imagina kkk.
Até no forum Holandês eu já entrei. A maioria das dicas á para o pf mais antigo.
Já restringi o range de portas no IIS já fiz de tudo.E quem ta de fora não acessa o meu FTP no modo passivo
No iptables tinha uma regra que era a -m state –state RELATED,ESTABBLISHED -j ACCEPT
Que apó feita a conexão todas as outras derivadas desta eram liberadas.
No pf não tem nada parecido com isso?
-
leandruco,
o pfSense é baseado num netfilter statefull (assim como o iptables). Isso significa que ele funciona exatamente como você está relatando (conexões estabelecidas, são mantidas até terminarem ou expirarem por qualquer motivo).
Você chegou a mexer em System->Advanced->Miscellaneous (deixou esta diretiva com valor "1")?
O seu firewall (Firewall->Rules->Lan) está configurado do Tipo Prudente, ou seja, por default todas as conexões são bloqueadas?
Abraços!
Jack -
Ola Jack obrigado pela informação
Em relação ao Miscellaneous eu fiz sim inclusive tem os print no meu primeiro post se quiser dar uma olhada.
Agora em relção a segunda pergunta eu creio que sim pois se eu não coloco a regra de liberação não funciona nada. -
Ola Jack obrigado pela informação
Em relação ao Miscellaneous eu fiz sim inclusive tem os print no meu primeiro post se quiser dar uma olhada.
Agora em relção a segunda pergunta eu creio que sim pois se eu não coloco a regra de liberação não funciona nada.Certo leandruco,
Neste caso, crie uma regra em "Firewall->Rules->Lan" liberando as conexões com destino aos FTPs (portas) passivos.
Basicamente conforme segue em anexo (Veja que no exemplo configurei um "alias" com todos os IPs públicos dos FTPs que a rede local pode/deve acessar).
Abraços!
Jack
-
Opa eu já tinha feito uma parecida só que n coloquei as portas deixei tudo para fazer o teste
-
Notei que vc está fazendo loadbalance de link de dados, correto?
Você já marcou a opção "System->Advanced->(Aba Miscellaneous)->Use sticky connections"?
Outra coisa importante, tente "encabeçar esta sua regra". Veja que o fw é sempre interpretado sequencialmente… Se houver uma regra mais acima que esteja negando este acesso, esta sua regra jamais será executada!
Nota: Jamais libere tudo conforme a imagem que você encaminhou. Imagino que você só o fez por teste, correto? ;)
Abraços!
Jack -
Sim foi só para teste.
Não tinha marcado a opção que vc mencionou marquei agora pra que ela serve?O acesso ao meu ftp eu consegui arrumar gora ele aceita tanto no modo passivo quanto no modo ativo.
Uma coisa que eu percebi é que as vezes os alias dão pau. A regra tava feita com o alias e n tava funcionando troquei para o ip cadastrado no VIRTAL IP ai funcinou, depois voltei para o alias novamente dai continuou funcionando.A unica coisa que falta agora é eu conseguir acessar este bendito ftp em modo passivo.
-
Jack a navegação parou após ativar está opção
"System->Advanced->(Aba Miscellaneous)->Use sticky connections"? -
Jack a navegação parou após ativar está opção
"System->Advanced->(Aba Miscellaneous)->Use sticky connections"?Esta opção faz com que o pfSense mantenha uma conexão (enquanto ela durar - portanto, até que uma das pontas termine-a) pelo link de dados em que ele iniciou. Ela é importantíssima quando se faz loabalance no pfSense e trabalha-se com conexões baseadas em seções (caso de HTTPS e afins, por exemplo).
Ela não deveria interromper a sua navegação… Muito pelo contrário, se você não a tinha marcado e estava tendo problemas com acesso a sites de banco, por exemplo, ela resolveria boa parte da sua vida!
Minha dica é que você reveja todas as tuas regras em "Firewall->Rules->Lan" e deixe esta regra de FTP passivo o mais próximo do início possível!
Abraços!
Jack -
Vlw Jack vou dar uma revisada.
Em questão de sites de banco estava tendo problemas sim dai configurei pra só sair por um link.Amanha posto os resultados depois de tudo organizado.
Obrigado pela atenção e bom descanso.
-
Em questão de sites de banco estava tendo problemas sim dai configurei pra só sair por um link.
Agora com o Use sticky connections você não precisa mais fixar rota de saída pra este tipo de conexão. Pelo link que a conexão for iniciada, ela será encerrada! ;)
Abraços!
Jack -
leandruco,
Faz uns testes via tcpdump para saber em que passo a comunicação interrompe.
Veja tanto a porta de comandos quanto a de dados. Abra duas consoles e Escute na wan e na lan ao mesmo tempo.
Desabilite tambem os helpers de FTP e refaça os mesmos testes.
Você consegue ver via tcpdump o que esta acontecendo? pacote saindo sem nat, pacote morrendo no firewall, pacote alternando entre dois links,etc?
Como já disse em alguns outros posts, o tcpdump é seu amigo. A interface gráfica ajuda muito, mas debug de verdade é feito na console.
-
Opa Marcello eu sempre trabalhava só no console com o iptables, mas como ainda não sou muito intimo do BSD ainda fico meio acanhando de mecher no console dele com medo de estragar kkkkk. Mas vou instalar o TCPDUMP e ver quais informações consigo tirar.
Obrigado.
