[RESOLVIDO] Problemas acessar FTP

marcelloc

Este segundo tcpdump do link B é da lan ou da wan?

leandruco

Lan

marcelloc

faz o mesmo na wan e compara os resultados.

leandruco

Segue o log do TCPDUMP no momento em que é executando o comando para listar os diretórios.
OBS. A conexão é feita normalmente pelos 2 links porem quando é solicitado que liste o diretório que só funciona pelo link A.

TCPDUMP link A:

11:34:00.125920 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 691336811, win 2041, length 16
11:34:00.126308 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 16, win 260, length 38
11:34:00.374007 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 39, win 2031, length 0
11:34:03.388468 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 39, win 2031, length 19
11:34:03.389122 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 35, win 260, length 21
11:34:03.637331 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 60, win 2026, length 0
11:34:05.458092 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 60, win 2026, length 27
11:34:05.458663 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 62, win 260, length 30
11:34:05.524721 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [P.], ack 90, win 2019, length 6
11:34:05.525131 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 41
11:34:05.768959 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 131, win 2008, length 0
11:34:26.472034 IP 189.42.54.183.21 > 201.22.95.99.55914: Flags [P.], ack 68, win 260, length 6
11:34:26.745356 IP 201.22.95.99.55914 > 189.42.54.183.21: Flags [.], ack 137, win 2007, length 0

TCPDUMP link B
11:36:00.160894 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 2523323193, win 2026, length 27
11:36:00.161612 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 27, win 260, length 30
11:36:00.206559 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [P.], ack 31, win 2019, length 6
11:36:00.207220 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 41
11:36:00.478272 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 72, win 2008, length 0
11:36:21.199448 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [P.], ack 33, win 260, length 6
11:36:21.467695 IP 201.22.95.99.55966 > 189.42.54.183.21: Flags [.], ack 78, win 2007, length 0
11:38:28.714855 IP 189.42.54.183.21 > 201.22.95.99.55966: Flags [R.], seq 78, ack 33, win 0, length 0

esse é o da wan, bem no momento do comando ls, pela maquina do cliente.
Externamente não sai nada na porta 20, mas na comunicação interna tem.
Como pode peixe vivo viver fora da auga fria.

marcelloc

acho que seu problema é de roteamento.

parece que esta acontecendo o seguinte:

ip externo -> ip_wan2 -> nat_pfsense -> servidor ftp

quando o servidor de ftp vai iniciar o ftp ativo, acontece o seguinte

servidor ftp -> pfsense -> gateway_padrao(wan1) -> ip externo

muda seu ftp para mot pasive e veja se resolve o problema do link2

leandruco

Em modo passivo funciona normal, mas eu preciso que funcione via linha de comando.

na maquina do cliente quando da o comando de listar ele exibe o seguinte:
200 PORT command successful
150 Opening ASCII monde data connection (E fica nisso a vida toda)

O duro de ser rota é que eu n tenho nenhum gateway padrão definido, os 2 gw estão em tier diferentes e marcada a opção use stick cnnections.

leandruco

Segue o log lado a lado
do lado direito pelo link A e do lado esquerdo o link B

Percebi que as informações diferem a partir da linha 27.

log2.jpg_thumb

marcelloc

Só para confirmar o problema( ou não ) de roteamento, monitora a lan e as duas wans quando estiver testando o link B

Deve aparecer o trafego da porta 20 tentando sair pelo link A enquanto o cliente espera a resposta pelo link B

leandruco

Marcello vc mato a xarada
É roteamento sim

17:56:22.178756 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
17:56:25.182381 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
17:56:31.182362 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,nop,sackOK], length 0

Apareceu requisições na iface do link A quando pedi para listar os arquivos conectado pelo link B

O que vc me sugere para consertar?

marcelloc

Infelizmente não tem conserto. :(

se você forçar o trafego pelo link B, quem vier pelo link A vai ter o mesmo problema.

A solução é ftp passivo, onde o cliente solicita a porta de dados.

leandruco

Não acredito. =(
Vou deixar o FTP em um link só então caso o link venha a cair troco manualmente.
Eu não posso usar só o passivo, pois os clientes usam o modo ativo.

EDIT

Mas percebi que o tráfego que se debanda para o outro link é o das portas altas. Que são a portas utilizadas para a troca de informações, será qeu n tem nenhuma regra minha atrapalhando ou é normal acontecer este problema?

EDIT2
Mas uma coisa. Mesmo não tendo setado nenhum gw padrão, ao executar o comando netstat -r o mesmo mostra o link A como rota Default.
Internet:

será que não tem como apagar?

marcelloc

A questão é que no modo ativo, o servidor FTP inicia uma nova conexão até o cliente, o firewall não associa esta novo acesso com o nat estabelecido na porta de dados. Por isso o pacote sai pelo gateway1.

No modo passivo, o próprio cliente abre nova conexão,desta forma o firewall consegue devolver o pacote por onde ele chegou.

leandruco

Perfeito Marcello.
Ficou mais do que claro a explicação. Infelizmente não tem o que fazer.
=X

marcelloc

Só para complementar, a situação que expliquei acontece somente quando não há um proxy de ftp no router/firewall.

leandruco

OPAAAA….
Mas em meu FW está habilitado o proxy FTP

ftpproxy.JPG_thumb
![ftp proxy2.JPG](/public/imported_attachments/1/ftp proxy2.JPG)
![ftp proxy2.JPG_thumb](/public/imported_attachments/1/ftp proxy2.JPG_thumb)

JackL

@marcelloc:

Só para complementar, a situação que expliquei acontece somente quando não há um proxy de ftp no router/firewall.

E aqui vamos nós novamente para a questão da diretiva "debug.pfftpproxy"….

leandruco, se você olhar lááááá no início deste tópico, vai perceber que já havíamos discutido sobre isso. É preciso avaliar se o teu cenário exige ou não um proxy ftp!

Dica: Avalie a possibilidade, neste seu caso específico, de utilização de um Web-FTP. Isso resolveria basicamente todos os teus problemas! ;)

Abraços!
Jack

leandruco

Eu já havia entendido.

rodsgobbo

Leandro tem como você postar as regras e como você deixou, pois estou com o mesmo problema. Só que no meu coloque o ftp em 1 link somente, mas não consigo liberar .

Obrigado

Rodrigo

leandruco

Nesse post eu mostrei ao amigo Souzalinux como está a minha configuração
http://forum.pfsense.org/index.php/topic,44733.0.html

marcelloc

Uns com extrema dificuldade e outros com uma facilidade inacreditável…

Não vejo outra forma desta configuração funcionar sem o proxy de tftp habilitado na wan.

http://forum.pfsense.org/index.php/topic,44987.msg234485.html#msg234485