Servidor de FTP atrás do pfSense 2.0



  • Olá Pessoal, estou tendo alguns problemas para configurar um servidor de FTP atrás do pfSense, então primeiro vou dar uma explicação geral de como funciona o meu firewall para facilitar o entendimento.

    Opção debug.pfftpproxy está desligada (valor 1)

    Rede local acessando a Internet

    • Alguns IP's específicos tem acesso totalmente liberado na internet, esses IP's conseguem acessar qualquer FTP ou aplicativo.
    • Todos os demais IP's acessam apenas alguns servicos na internet, neste caso as portas 20 e 21 estão liberadas para todos.

    Internet -> Servidor na rede local

    • Os clientes acessam normalmente setando o cliente de FTP para conexão passiva.
    • Eu limitei as o range de portas do FTP do windows (IIS) e fiz o nat de entrada para a porta 21, 20 e o range de portas que defini no IIS.

    Situação Atual

    Os usuários externos estã acessando o FTP interno normalmente.

    Os usuários internos que tem ip liberado acessam qualquer servidor de FTP na internet.
    Os usuários internos que não tem ip liberado (porem tem as portas 20 e 21 liberadas) NÃO conseguem acessar nenhum servidor na internet nem no modo ativo nem no passivo.

    Se eu habilitar o debug.pfftpproxy (valor default) os usuários internos passam a acessar normalmente os servidores da Internet, mas daí o meu servidor de FTP que está na rede interna para de funcionar.

    Vi alguns tutoriais que deveriam ser realizados para o pfSense 1.2.3, porém a opção ftp helper não existe mais nas interfaces.

    Existe alguma maneira de habilitar o ftp proxy apenas para a interface da rede local e manter as 2 situações funcionando, ou seja, clientes internos independente do IP conseguem acessar qualquer servidor externo e os clientes externos conseguirem acessar o meu servidor interno???

    Abraço a todos!!



  • fneto,

    Depois de muitos topicos sobre ftp, concluimos que o proxy feito no pfsense é suficiente para publicar o serviço sem precisar de muito conhecimento no protocolo em questão.

    Respondendo a sua pergunta sobre como restringir o ftp somente a uma interface, aparentemente só existe a opção de ligar ou desligar o proxy de ftp pela opção que você já está configurando(debug.pfftpproxy)

    Da uma olhada nestes topicos, e veja se consegue solucionar ou pelo menos entender o problema.
    http://forum.pfsense.org/index.php/topic,44987.msg234485.html#msg234485
    http://forum.pfsense.org/index.php/topic,44733.15.html
    http://forum.pfsense.org/index.php/topic,45150.0.html

    Só um pequeno detalhe sobre o que você postou.
    A porta 20 não tem o mesmo sentido de conexão que a porta 21, criar uma regra com 20,21 é inútil(em um dos posts tem o diagrama de conexão do ftp em modo ativo e passivo).

    att,
    Marcello Coutinho


Log in to reply