NAT FTP con PFS 2.1



  • n buongiorno a tutti !

    Dopo una migrazione dalla 2.03 alla 2.1 sto avendo un po di problemi di NAT verso un server FTP interno in DMZ.
    Ho letto tutti gli howto possibili in tutte le lingue pseudo comprensibili (ho letto anche un howto in russo, dove cercavo di capire dai disegni).. ma senza risultato.

    Ho anche provato ad attivare un NAT 1:1 da un IP pubblico virtuale verso la macchina in DMZ ed il risultato è sempre lo stesso:

    La connessione avviene, login e password ok, errore nel list del contenuto.

    Ho fatto decine (forse più) di tentativi… ma non ne esco, medesimo risultato (sia ftp attivo che passivo).
    Gli utenti mi dicono che con la 2.03 non avevano problemi... sigh.

    Qualche idea, bug noto ?

    Grazie 10.000

    Luca



  • Prova a guardare con packet capture cosa succede sull'interfaccia di DMZ



  • Ciao e grazie della risposta.

    Premessa: NAT attivo sulla porta 20,21 e range 6000-7000 verso IP privato in DMZ dove il server FTP è collocato.

    Guarda, è davvero strano… mi sono messo a sniffare pacchetti e mi ritrovo nella seguente condizione:

    Traffico verso la porta 21 dell'IP privato e relativa risposta, nessun traffico sulla porta 20 o altre porte, il client dice (impossibile fare il list). Ed è corretto perchè per fare il list non viene usata la porta 21, provato con comando ftp da shell.

    Provo con Filezilla, dico a Filezilla di usare il range di porta dalla 6000 alla 7000, viene effettuato traffico sulla porta 21, risponde correttamente, nessun traffico sulla 20 ne sul range 6000-7000, errore nel list.

    Non ci sono regole lato firewall che bloccano le porte di cui sopra.

    Un problema di NAT outbond ?

    Ma con PFS 2.03 funzionava....

    PPS con la 2.1 non mi funziona neppure in NAT 1:1, stesso sintomo.

    Bho

    CIAO

    Luca



  • All'inizio della settimana prossima dovrei essere in grado di avere una macchina sottomano per fare qualche test, ti faccio sapere!



  • Grazie !

    Fornisco un nuovo dato.
    Direttamente da un mio IP pubblico (al di fuori della struttura di rete di quel PFSense) riesco senza alcun problema a connettermi in FTP verso quel NAT.
    Da un client dietro firewall che si connette al NAT di cui sopra no.

    Quindi la colpa non è al 100% di PFsense 2.1, ma dal mio client non ho alcun problema ad effetturare connessioni FTP verso terzi ed ancora, con la 2.03 il tutto funzionava (come firewall che gestisce la DMZ in cui è collocato il server FTP).

    Mumble…



  • Ciao!
    Lo scenario che ho testato è il seguente:
    -Server Filezilla FTP in DMZ con indirizzo 10.0.0.1
    -Client Filezilla FTP sulla WAN del router

    Con questa regola

    nessun problema di upload e download dei file dall'FTP



  • Grazie, sei stato molto gentile.
    Inizio a pensare che il problema sia legato al tipo di server FTP, quello di un vecchio AS400.

    Abilitando il NAT sulla porta 21, PFSense attiva qualche specifica funzionalità ? Di fatto fare NAT del protocollo FTP è complesso, data la particolarità del protocollo, immagino vengano attivate funzioni specifiche che cambiano poi se si tratta di FTP attivo o passivo.

    Dovrei fare altre prove, con un server FTP più moderno (purtroppo quella rete deve usare un AS400 per la contabilità ed occasionalmente devono fare degli upgrade via FTP)

    A prescindere da tutto ancora grazie

    Luca



  • Di niente, penso anche sia che sia il server FTP. Puoi sempre cavarti la soddisfazione di fare la prova con una CF nuova con sopra pfSense 2.1 e caricando la configurazione vecchia, perchè ho visto più di un problema in aggiornamento sulle Alix.



  • Ciao io ho un problema analogo, ho due serve pfsense in due sedi diversi, sul primo e' installato pfsense 2.0 sul secondo 2.1 in entrambi in casi c'e' dietro un file server su cui viene effettuato un FTP , uso filezilla, nel primo server quello con 2.0 ho fatto una regola di nat che da ip pubblico sulla porta 21 viene indirizzato sul server filezilla e tutto funziona tranquillamente sul secondo configurazione identica non va dal esterno non vede l'ip pubblico , eppure funziona se vado in desk top remoto va se lo pingo va ma se apro l'ftp non va, sapete dirmi se per aprire un ftp dalla versione pfsense 2.0 alla 2.1 c'e' differenza?

    grazie



  • No, nessuna. Le regole di NAT si fanno tutte nello stesso modo.


Log in to reply