ACESSO FTP



  • Bom dia Pessoal!

    tenho um ftp interno aqui e estou tentando libera-lo externo, na verdade a liberação deu certo consigo dar um telnet na porta liberada e responde, porém quando tento acesso por web ou pelo FILEZILLA apresenta a mensagem que segue abaixo.

    Alguem sabe me dizer se é um problema no firewall?

    Resposta: 227 Entering Passive Mode (192,168,0,2,218,4).
    Estado: O servidor enviou uma resposta passiva com um endereço não roteável. Usando o endereço do servidor como alternativa.
    Comando: LIST
    Resposta: 150 Opening BINARY mode data connection.
    Erro: A conexão excedeu limite de tempo
    Erro: Falha na obtenção da lista de pastas



  • Segue print da tela do filezilla…




  • Você possui mais de um link de internet?



  • nao apenas 1 link, no caso se eu libero o servidor na porta 21 funciona, porem se eu tento mascarar a porta nao funciona….



  • tentou fazer nat?



  • Sim na NAT nao funciona, e se libera direto na porta 21 funciona.



  • Vá até system > advanced > system Tunables

    Localize a opção debug.pfftpproxy

    altere o valor de 0 para 1.

    não sei se irá funcionar, mas teste aí.

    Obs, sua regra de Nat está correta né?  em Destination port está a porta que vc quer usar para mascarar (Ex: 20000) e redirecionando para o IP de seu FTP (Ex: 192.168.0.2  na porta 21)

    Obs:  também deve direcionar a porta 20

    abçs



  • Já pensou em pesquisar no fórum sobre conexão de ftp e /ou como o protocolo ftp funciona?

    Existem vários e vários tópicos sobre o mesmo assunto.



  • Victor irei testar a sua dica, obrigado!

    Marcelloc irei pesquisar nao fiz uma pesquisa a fundo, obrigado!

    abraços,

    Renan



  • Olá Pessoal,

    Eu estou com problemas no NAT, eu fiz o update da versão 2.1.5 para 2.2.6 e vários NATs parou de funcionar, em especial o NAT do FTP.
    Minhas regras são as mesmas da versão 2.1.5, mas algumas não funciona como o ftp por exemplo.

    Reply: 227 Entering Passive Mode
    Error: Server returned unroutable private IP address in PASV reply

    Já procurei aqui no fórum, Como o Marcello Disse, tem vários assuntos, mas, não consegui entender.
    Não uso Proxy nesse Firewall
    Tenho no servidor Windows o Filezilla Server.

    Abraços.



  • Achei esse link que pode te ajudar:

    http://www.proftpd.org/docs/howto/NAT.html

    Principalmente este trecho do texto:

    
    However, one big problem still exists. The passive FTP connections will use ports from 1024 and up, which means that you must forward all ports 1024-65535 from the NAT to the FTP server! And you have to allow many (possibly) dangerous ports in your firewalling rules! Not a good situation. For a good description of active versus passive FTP data transfers, see:
    
      http://slacksite.com/other/ftp.html
    To resolve this, simply use the PassivePorts directive in your proftpd.conf to control what ports proftpd will use for its passive data transfers:
      PassivePorts 60000 65535	# These ports should be safe...
    
    

    Verifica quais são as portas passivas configuradas no seu Filezilla e crie regras de NAT dessas portas apontando para o seu servidor.

    https://wiki.filezilla-project.org/Network_Configuration



  • Olá Pessoal,
    ##RESOLVIDO## Para o meu caso!

    Foi só criar as regras corretas e configurar as Port Range no Servidor ftp.

    Abraço a todos.




  • Deixar todo esse range de portas abertas não me parece boa pratica de segurança.

    Tente instalar o pacote FTP Proxy Client, ative e selecione a interface LAN, desative as regras de NAT e faça o teste.



  • @Tomas:

    Deixar todo esse range de portas abertas não me parece boa pratica de segurança.

    Tente instalar o pacote FTP Proxy Client, ative e selecione a interface LAN, desative as regras de NAT e faça o teste.

    No caso do Márcio foram somente 3 portas altas, então creio que não tenha tanto problema de segurança. O redirecionamento da porta 21 é muito mais crítico em termos de segurança do que essas portas altas.

    Mas têm a opção de utilizar o modo ativo no client FTP, porém o server deve suportar. Mas há alguns pontos negativos. A melhor opção seria o modo passivo mesmo.

    http://www.slacksite.com/other/ftp.html



  • Pessoal,
    Obrigado pela sugestão, eu também que não seria uma boa pratica criar um NAT com essas portas.

    Tem alguma configuração especial pra ser feito no FTP Client Proxy? Ou apenas as opções de ativar e selecione a interface LAN?

    Pra min não funcionou.

    Obrigado a todos.



  • @Márcio:

    Pessoal,
    Obrigado pela sugestão, eu também que não seria uma boa pratica criar um NAT com essas portas.

    Tem alguma configuração especial pra ser feito no FTP Client Proxy? Ou apenas as opções de ativar e selecione a interface LAN?

    Pra min não funcionou.

    Obrigado a todos.

    No caso do FTP Client Proxy, vc deverá ativar na interface WAN.



  • Depende, no meu caso o servidor é externo, e então o trafego vem da LAN, ativo na LAN.

    Se é NAT para um servidor interno vale o teste, nunca fiz,



  • olá amigos,

    Estava tudo funcionando, porém após atualizar o FTP travou para os clientes.

    Tenho as seguintes regras NAT

    If       Proto     Src. addr Src. ports Dest. addr       Dest. ports           NAT IP               NAT Ports
    WAN1    TCP/UDP *             *          WAN1 address          21 (FTP)               192.168.0.234         21 (FTP)
    WAN1    TCP/UDP *             *                 WAN1 address          990               192.168.0.234         990
    WAN1    TCP         *             *                 WAN1 address        51050 - 51100        192.168.0.234         51050 - 51100

    Mensagem de erro:
    Reply: 227 Entering Passive Mode (192,168,0,234,199,133)
    Error: Server returned unroutable private IP address in PASV reply

    Não sei mais o que fazer !!!



  • Reginaldo,
    Você configurou o seu servidor FTP o Passive Mode com essas portas 51050 - 51100?

    Exemplo do ProFtp

    Habilitando o modo passivo.

    pasv_enable=YES
    pasv_address=IPMAQUINA onde esta instalado!
    pasv_max_port=51100
    pasv_min_port=51050

    @Reginaldo:

    If       Proto     Src. addr Src. ports Dest. addr       Dest. ports           NAT IP               NAT Ports

    WAN1    TCP         *             *                 WAN1 address        51050 - 51100        192.168.0.234         51050 - 51100



  • Márcio,

    Então efetuei a configuração no filezilla, porém parece não surtir efeito.



  • Funcionou, após reiniciar o serviço FTP.

    FTP agora está mamão

    ftpes://canhoto.cm2.com.br



  • Galera estou com este mesmo problema, todos os outros serviços de redirecionamento estão ok somente FTP externo para dentro não consigo  pelo amor de deus alguém pode ajudar.



  • @Jean:

    Galera estou com este mesmo problema, todos os outros serviços de redirecionamento estão ok somente FTP externo para dentro não consigo  pelo amor de deus alguém pode ajudar.

    Já realizou as dicas que postaram nesse tópico mesmo? Outra maneira é analisar o trafego com o tcpdump.


Log in to reply