[gelöst] Passives FTP über pfsense

SchirikiVII

Hallo zusammen,

ich versuche grade erfolglos, FTP über die pfsense-Firewall ans Laufen zu kriegen.
Ich habe in der pfsense NAT-Regeln für den Port 21, sowie die Portrange 1025-5000 angelegt.
Der FTP-Server hat die interne Adresse 10.10.10.213.
Der IIS7 ist mit der Portrange 0-0 (Windows-Sprache für 1025-5000) und der externen Firewall-IP 195...213 versehen.
Der FTP-Server Antwortet von externen Anfragen auf der IP 195...213, allerdings kann der Verzeichnisinhalt nicht empfangen werden. Heißt: Login funktioniert problemlos, allerdings bricht die Verbindung nach dem LIST-Befehl nach 20 Sekunden ab.
"150 Opening BINARY mode data Connection
Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Verzeichnisinhalt konnte nicht empfangen werden"

Bis auf die NAT-Regeln auf dem einen Interface sind auf dem betreffenden anderen eine Interface to any Regel mit den FTP Port und der Portrange eingetragen.
Interne FTP-Anfragen laufen Problemlos ab, nur externe (also "vom Internet aus") gehen nicht, also muss die FW da irgendwo dazwischenfunken.
Übersehe ich etwas?

MfG,
Kilian

bitboy0

Übersehe ich etwas?

MfG,
Kilian

Hast du auch die passenden Firewall-Regeln dazu erstellt/erstellen lassen?
Bei uns hat der Server die 10.10.10.1

FTP.jpg_thumb

SchirikiVII

Hi bitboy0,

ja habe ich, die wurden vom NAT ja automatisch erstellt.
Wie gesagt, auf den FTP kann ich mich einloggen, allerdings kommt kein Verzeichnisinhalt zurück.

![2015-03-13 11_37_09-pfsenseext.pr-moritz.de - Firewall_ Rules.png](/public/imported_attachments/1/2015-03-13 11_37_09-pfsenseext.pr-moritz.de - Firewall_ Rules.png)
![2015-03-13 11_37_09-pfsenseext.pr-moritz.de - Firewall_ Rules.png_thumb](/public/imported_attachments/1/2015-03-13 11_37_09-pfsenseext.pr-moritz.de - Firewall_ Rules.png_thumb)

SchirikiVII

Habs grad selber gelöst, es lag nicht a pfsense, sondern an dem IIS7. Der hat trotz Aufforderung in der GUI die Portrange nicht übernommen.
Nach einem Neustart des Dienstes funktioniert es nun wunderbar.

Thema kann als gelöst markiert werden.

krischeu

@SchirikiVII:

Habs grad selber gelöst, es lag nicht a pfsense, sondern an dem IIS7. Der hat trotz Aufforderung in der GUI die Portrange nicht übernommen.
Nach einem Neustart des Dienstes funktioniert es nun wunderbar.

Thema kann als gelöst markiert werden.

Hi,
wo hast du denn das genau im IIS eingestellt?
Ich hab das ohne NAT. Läuft bis zum besagten Fehler …
Grüße
HK

SchirikiVII

@krischeu:

Hi,
wo hast du denn das genau im IIS eingestellt?

Hi,
ich habe die Einstellung im Internetinformationsdienste(IIS)-Manager gefunden.
Dort auf deine Site und die Kachel FTP-Firewallunterstützung anklicken, da kann man die Portrange einstellen. Wichtig ist, dass du den Dienst dann neu startest, sonst wird sie nicht übernommen, zumindest war das bei mir so.