Пробросить TFTP сквозь pfSense 2.1-RELEASE.



  • Надо получить доступ из инета к TFTP-серверу в локалке, закрытой pfSense 2.1-RELEASE.
    В настройках System: Advanced: Firewall and NAT-TFTP Proxy-выставлен интерфейс LAN.
    В NAT TCP/UDP 69 порты проброшены на TFTP-сервер.
    При инициации закачки/скачки с TFTP-сервера на нём видно, что процесс идёт,
    но ни на приём, ни на передачу данные не передаются.
    TFTP-клиент отваливается по таймауту.
    На сам pfSense TFTP-сервер ставить не хочется.



  • Вкл. логирование fw и смотреть, смотреть, смотреть…



  • Google + pfsense tftp
    Посмотрите вторую ссылку п. 7.8.2



  • @dvserg:

    Google + pfsense tftp
    Посмотрите вторую ссылку п. 7.8.2

    "pfSense 2.0 включает TFTP прокси который устраняет данные ограничения."
    Включен TFTP прокси, но не работает.
    TFTP-сервер работает, суетится, пытается передать информацию, но ничего не отправляет и не принимает,
    трафика ноль, хотя в локалке всё нормально работает.
    Пробовал другой TFTP-сервер - тот же результат.
    Кто-нибудь заставил работать этот протокол в pfSense 2.1?



  • Прописан ли pfSense шлюзом на TFTP сервере?



  • @dvserg:

    Прописан ли pfSense шлюзом на TFTP сервере?

    Да на TFTP-сервере и настроек таких нет.
    Где-то на этом сайте на англицком языке, как я понял был такой совет -
    используйте "правильный" TFTP-сервер, который следует правилам работы в сети.



  • @3vs:

    @dvserg:

    Прописан ли pfSense шлюзом на TFTP сервере?

    Да на TFTP-сервере и настроек таких нет.
    Где-то на этом сайте на англицком языке, как я понял был такой совет -
    используйте "правильный" TFTP-сервер, который следует правилам работы в сети.

    Сервер - это хост, на котором крутится TFTP сервис.
    На хосте есть сетевые настройки интерфейса: IP/маска/шлюз.



  • @dvserg:

    @3vs:

    @dvserg:

    Прописан ли pfSense шлюзом на TFTP сервере?

    Да на TFTP-сервере и настроек таких нет.
    Где-то на этом сайте на англицком языке, как я понял был такой совет -
    используйте "правильный" TFTP-сервер, который следует правилам работы в сети.

    Сервер - это хост, на котором крутится TFTP сервис.
    На хосте есть сетевые настройки интерфейса: IP/маска/шлюз.

    Сервер 2003, все настройки на нём сделаны, интернет на сервере есть.
    Запускаю TFTPD32, Official site: http://tftpd32.jounin.net
    Нет у TFTPD32 никаких настроек IP/маска/шлюз, как и у остальных подобных
    серверов.

    Цитата из документации":
    Стандартный TCP и UDP трафик инициированный соединениями к удалённым хостам использует случайный исходный порт в эфемерном диапазоне портов (диапазон зависит от операционной системы, но находится в пределах 1024-65535), и порт назначения используемый протоколом. Ответы от сервера к клиенту возвращают - порт источник, который является портом назначения клиента и порт назначения, который является портом источником клиента. Таким образом, pf связывает ответный трафик соединения инициированный из вашей внутренней сети. Однако, протокол TFTP (Trivial File Transfer Protocol) не следует этому правилу. Стандарт,
                                ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    определяющий TFTP, RFC 1350, указывает, что ответ с сервера TFTP для клиента будет получен с псевдослучайного номера порта. Ваш клиент TFTP может выбрать порт источник 10325 (например), и использовать порт назначения TFTP 69. Сервер для других протоколов отправил бы ответ используя порт источника 60 и порт назначения 10325. Поскольку TFTP использует псевдослучайный порт источника, ответный трафик не будет соответствовать состоянию pf созданному для этого трафика. Следовательно, ответы будут заблокированы, поскольку они будут расцениваться как нежелательный трафик Интернет.
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    А "правильный" TFTP  должен отправлять ответ используя порт назначения 10325 из примера.

    Наверное в этом всё и дело, только есть ли такой "правильный" TFTP-сервер для винды?



  • есть ли такой "правильный" TFTP-сервер для винды?

    А штатный, виндовый не?

    порт в эфемерном диапазоне портов

    ;D



  • @aleksvolgin:

    есть ли такой "правильный" TFTP-сервер для винды?

    А штатный, виндовый не?

    порт в эфемерном диапазоне портов

    ;D

    С виндовым всё то-же.  :(



  • Всё, вопрос закрыт!!!  ;D

    Есть всё таки "правильные" TFTP-сервера!!!
    Один из них называется WinAgents TFTP Server.
    Сайт: http://www.winagents.com/en/downloads/download-tftp-server.php
    У него есть настройка Enable firewall support, которая позволяет
    серверу за pfSense, даже если комп с TFTP-сервером выходит в инет через
    прозрачную проксю!

    Пробовал со своего компа на работе, вместе с сервером в локалке сидим за pfSense, я в обход
    прозрачного Squid, сервак через прозрачный Squid.
    Подключаюсь по интернету терминалом к удалённому компу, та контора то же сидит
    за pfSense с прозрачной проксёй Squid.
    Запускаю в терминале на том компе закачку прошивки, лежащей на моё TFTP-серваке.
    Всё качает без проблем!

    Жаль, что небесплатный, в общем надо искать free-аналог.



  • @3vs:

    диапазон зависит от операционной системы, но находится в пределах 1024-65535),

    Очень странно, что в википедии указн только порт 69/UDP

    Попробуйте NAT 1:1



  • @dr.gopher:

    @3vs:

    диапазон зависит от операционной системы, но находится в пределах 1024-65535),

    Очень странно, что в википедии указн только порт 69/UDP

    Попробуйте NAT 1:1

    Всё уже перепробовал.
    Просто протокол TFTP работает не так, как должно, в локалке проблем нет, а вышеназванный сервер
    при включении галки "работать через прокси" включает нужную функциональность и всё
    начинает работать так как оно должно быть по уму!



  • Кстати, кому интересно поэкспериментировать с другими TFTP-серверами за pfSense,
    нашёл статейку по настройке файервола, похоже есть рациональное зарно, может
    и на pfSense покатит.
    Вот ссылка на статейку.
    http://archive-ru.com/ru/w/winagents.ru/2013-08-13_2616158_4/Резервное_копирование_конфигурации_сетевых_устройств/

    Если есть у кого интерес - поэкспериментируйте, потом отпишитесь в этой теме, пожалуйста.



  • В Tftpd можно попробовать включить Bind TFTP to this address на вкладке Setting –> TFTP



  • @gr0mW:

    В Tftpd можно попробовать включить Bind TFTP to this address на вкладке Setting –> TFTP

    Стоит эта галка, результата нет.
    Имеется ввиду внешний TFTP сервер, развёртывание TFTP на самом pfSense не рассматривается.



  • Попробую на своей сети и отпишусь.



  • @gr0mW:

    В Tftpd можно попробовать включить Bind TFTP to this address на вкладке Setting –> TFTP

    Извините, а где Вы такую опцию нашли ? Может, у меня версия кривая ? Попробую переустановить …...


Log in to reply