Problemas com NAT para server FTP (Proftpd)



  • Srs, boa noite!

    A tarefa parece simples estou quebrando a cabeça, eu tenho um servidor ftp(proftpd debain 6) na rede internar e preciso fazer um nat para acesso externo ao serviço de ftp neste servidor eu fiz a regra de nat no pfsense ele criou automaticatimente a regra de firewall mais nao funciona corretamente, acontece que quando vc tentar acessa externo ele acessa pede login e senha, mais da não lista os diretorio, no log do servidor ftp vejo que log com sucesso mais não lista os diretorio, ja tentei configurar com as opções de mascaramento e portas passivas mais não tive sucesso.

    Se alguem puder dar uma luz agradeço,

    Fernando



  • Datelhe, o mesmo nat para ftp so que em um servidor windows funciona normalmente! :-(



  • Você tem proxy na rede? fez teste usando cliente ftp ou o navegador? o FTP esta configurado para ser modo passivo?  é necessário mais detalhes.

    tire uma print screen da sua regra para analisarmos.



  • Segue o Print da regra eu ja fiz a mesma regra para a porta 20 e para as portas passivas e mesmo assim não funcionou, não tenho proxy na rede e ja fiz o teste de outro browser e tb deu erro, o estranho e que nos logs do servidor ftp o login aparece com sucesso, mais na hora de mostrar os diretórios e arquivos da erro.




  • bom quando você faz o teste a porta esta aberto , ele faz autenticação? parece ser um problema de retorno do pacote.

    utilize o tcpdump para mais detalhes.



  • Sim ele chega a autenticar porém não retorna as informações (Diretorio e Arquivos)

    Ai vai saida da captura da interface opt1 para meu ip interno 192.168.0.115

    12:30:11.979439 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:11.979600 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 0
    12:30:12.037150 IP 200.1xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:12.038657 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 20
    12:30:12.093512 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 16
    12:30:12.093606 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 0
    12:30:12.093663 IP 192.168.0.115.21 > 200.168.6.88.55556: tcp 34
    12:30:12.143756 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 12
    12:30:12.181991 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 0
    12:30:15.588502 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 22
    12:30:15.714166 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:15.714370 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:15.714418 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 10
    12:30:15.714423 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 30
    12:30:15.714426 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 2
    12:30:15.714544 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 0
    12:30:15.714547 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 10
    12:30:15.714550 IP 192.168.0.115.21 > 200.xxx.xx.xx.55556: tcp 12
    12:30:15.901809 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:15.901870 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:15.902858 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:15.903024 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 20
    12:30:15.903199 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:15.905291 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:15.906183 IP 200.xxx.xx.xx.55556 > 192.168.0.115.21: tcp 0
    12:30:16.180535 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 12
    12:30:16.180633 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 0
    12:30:16.180693 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 34
    12:30:16.474338 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 13
    12:30:16.512634 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 0
    12:30:16.524327 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 23
    12:30:16.814625 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 14
    12:30:16.814720 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 0
    12:30:16.814782 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 26
    12:30:17.107143 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 5
    12:30:17.107271 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 19
    12:30:17.409167 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:17.409354 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 10
    12:30:17.409359 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 30
    12:30:17.409362 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 2
    12:30:17.409497 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 10
    12:30:17.409501 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 10
    12:30:17.409504 IP 192.168.0.115.21 > 200.xxx.xx.xx.55558: tcp 2
    12:30:17.453675 IP 200.xxx.xx.xx.55544 > 192.168.0.115.21: tcp 6
    12:30:17.453802 IP 192.168.0.115.21 > 200.xxx.xx.xx.55544: tcp 14
    12:30:17.686413 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:17.688361 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:17.690841 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:17.691135 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:17.691330 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:17.691757 IP 200.xxx.xx.xx.55558 > 192.168.0.115.21: tcp 0
    12:30:17.738500 IP 200.xxx.xx.xx.55544 > 192.168.0.115.21: tcp 18
    12:30:17.738637 IP 192.168.0.115.21 > 200.xxx.xx.xx.55544: tcp 37
    12:30:18.032673 IP 200.xxx.xx.xx.55544 > 192.168.0.115.21: tcp 8
    12:30:18.032793 IP 192.168.0.115.21 > 200.xxx.xx.xx.55544: tcp 30
    12:30:18.308426 IP 200.xxx.xx.xx.55544 > 192.168.0.115.21: tcp 6
    12:30:18.308631 IP 192.168.0.115.21 > 200.xxx.xx.xx.55544: tcp 52
    12:30:18.610738 IP 200.xxx.xx.xx.55544 > 192.168.0.115.21: tcp 0
    12:30:18.905355 IP 192.168.0.115.21 > 200.xxx.xx.xx.55544: tcp 1
    12:30:19.415646 IP 200.xxx.xx.xx.55544 > 192.168.0.115.21: tcp 0



  • Pode ser que o problema seja na volta do pacote , pois ele volta com endereço privado 192.168.0 , pode ser que fazendo um postrouting  SNAT resolva.



  • Ja fiz a regra de snat como você citou mesmo assim não funciona vou testar com pfsense 2.1 pra ver se dar alguma diferença



  • Confere as opções do proxy de ftp nativo do pfsense em system advanced, tenta desabilitar e criar as regras na mão.



  • O pradrão é 0 ja mudei pra 1 para fazer testes e recriei as regras também não obtive sucesso!!



  • @lfernandob:

    O pradrão é 0 ja mudei pra 1 para fazer testes e recriei as regras também não obtive sucesso!!

    Você tem alguma regra de balanceamento de link? isso pode atrapalhar o funcionamento do proxy de ftp.

    Use o tcpdump nas duas interfaces, wan e lan para ver o que está acontecendo.


Locked