RESOLVIDO - FTP - Problemas com SisobraNET (Receita)



  • Prezados,

    Estou com um grande problema, presto serviço em uma prefeitura, ele usam um sistema 'SisobraNET'
    para fazer a transferência de um determinado arquivo. Já fiz varias capturas, regra de firewall mais não conseguir solucionar o problema.

    Ip que o programa usa para transferência  via FTP: 200.152.32.174

    Efetuei testes em dois cenários; no firewall em produção (proxy desativado)
                                                    firewall de teste instalado do zero sem politica nenhuma

    Em ambos os testes vejo a conexão passar pela captura 'tcpdump' mais no final da falha no envio do arquivo.

    Fiz alguns testes e capturas, eu consigo conectar no FTP(200.152.32.174) atravez de um cliente FTP(Filezilla) eu conecto no FTP mais ele não lista os Diretorios.
    Status:  Conectando com 200.152.32.174:21…
    Status:  Conexão estabelecida, esperando a mensagem de boas vindas...
    Resposta:  220 www61 Microsoft FTP Service (Version 5.0).
    Comando:  USER sisobra
    Resposta:  331 Password required for sisobra.
    Comando:  PASS ***********
    Resposta:  230 User sisobra logged in.
    Status:  Conectado
    Status:  Recuperando a listagem de pastas...
    Comando:  PWD
    Resposta:  257 "/sisobra" is current directory.
    Comando:  TYPE I
    Resposta:  200 Type set to I.
    Comando:  PASV
    Resposta:  227 Entering Passive Mode (200,152,32,174,215,238).
    Comando:  LIST
    Resposta:  425 Can't open data connection.
    Erro:  Falhou em recuperar a listagem de diretórios

    Efetuei o teste fora de uma rede com o cliente FTP o mesmo conectou mais não listou os diretorios, mudei a configuração para o modo Ativo e o mesmo funcionou.
    Outro teste: conectei no FTP na console do propio firewall, ele conectou perfeitamente o listou os diretorios.

    Creio que a conexão nesse FTP e no modo ativo.

    Se eu estiver errado me corrigam; creio que atravez desses testes podemos descartar algum bloqueio da operadora e bloqueio. Creio que o problema esta entre o firewall e a rede Lan.

    Me ajudem por favor!!



  • Fez uma regra liberando a porta de destino como 21 e com destino esse IP?



  • Bom dia Tomas Waldow,

    Já criei varias regras e não resolveu, a conexão e feita conforme mostra as capturas ;

    /root: tcpdump -ni re0  dst 200.152.32.174
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on re0, link-type EN10MB (Ethernet), capture size 65535 bytes
    capability mode sandbox enabled
    10:13:19.536904 IP 177.15.73.12.44042 > 200.152.32.174.21: Flags [s], seq 3507341000, win 65535, options [mss 1460,nop,nop,sackOK], length 0
    10:13:19.575422 IP 177.15.73.12.44042 > 200.152.32.174.21: Flags [.], ack 1407635078, win 65535, length 0
    10:13:22.514367 IP 177.15.73.12.44042 > 200.152.32.174.21: Flags [P.], seq 0:14, ack 49, win 65487, length 14
    10:13:22.549006 IP 177.15.73.12.44042 > 200.152.32.174.21: Flags [P.], seq 14:32, ack 85, win 65451, length 18
    10:13:22.585651 IP 177.15.73.12.44042 > 200.152.32.174.21: Flags [P.], seq 32:45, ack 114, win 65422, length 13
    10:13:23.206278 IP 177.15.73.12.44042 > 200.152.32.174.21: Flags [P.], seq 45:67, ack 143, win 65393, length 22
    
    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------
    ]/root: tcpdump -ni re0 src 200.152.32.174
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on re0, link-type EN10MB (Ethernet), capture size 65535 bytes
    capability mode sandbox enabled
    10:15:22.278392 IP 200.152.32.174.21 > 177.15.73.12.27731: Flags [S.], seq 3982441863, ack 1188987687, win 65535, options [mss 1460], length 0
    10:15:22.313617 IP 200.152.32.174.21 > 177.15.73.12.27731: Flags [P.], seq 1:49, ack 1, win 32768, length 48
    10:15:22.350053 IP 200.152.32.174.21 > 177.15.73.12.27731: Flags [P.], seq 49:85, ack 15, win 32768, length 36
    10:15:22.390545 IP 200.152.32.174.21 > 177.15.73.12.27731: Flags [P.], seq 85:114, ack 33, win 32768, length 29
    10:15:22.427690 IP 200.152.32.174.21 > 177.15.73.12.27731: Flags [P.], seq 114:143, ack 46, win 32768, length 29
    10:15:22.462845 IP 200.152.32.174.21 > 177.15.73.12.27731: Flags [R], seq 3982442006, win 4096, length 0
    
    Alguma idéia do que poderia ser?
    
    Desde já agrade pela atenção.[/s]
    
    [captura.txt](/public/_imported_attachments_/1/captura.txt)
    


  • você fez nat??



  • Não.

    Cenario atual:

    Ip da estação: 10.1.1.10
    Gateway da Lan: 10.1.1.254
    Rede Wan: 177.15.73.12

    Ip do FTP: 200.152.32.174

    Como seria essa idéia do NAT?



  • O nat parece estar ok mas só tem tráfego na 21. Não passa nenhuma requisição de dados, como se a conexão estivesse falhando por erro de senha.

    Eber, aparentemente te falta um pouco de conceito de rede. Sugiro ler os tutoriais aqui do fórum ou até fazer um treinamento específico para se aprofundar na ferramenta.

    Se optar pelo treinamento, recomendo o www.sys-squad.com



  • Bom dia Marcello,

    A conexão não falha por erro de usuário e senha, a transmissão do aquivo e feita com sucesso quando e feita por outra rede que não tenha o pfsense.

    Sobre o nat está OK, não fiz configuração nenhuma de nat.



  • experimente a seguinte regra

    lan  lan net  * alias_do_ftp_alvo *

    ou seja liberar todo trafego de saida de sua rede local para a rede alvo,
    isso tbm deve garantir o retorno ( que eventualmente voltar em outra porta, aqui tenho um caso de usar a 22)



  • Bom dia marcosmassa,

    Desde já obrigado por sua ajuda.

    Já tinha criado essa regra anteriomente é não funcionou.

    :-\



  • @eber_pfsense:

    A conexão não falha por erro de usuário e senha, a transmissão do aquivo e feita com sucesso quando e feita por outra rede que não tenha o pfsense.

    O dump não mostra qualquer tentativa de envio do arquivo, só comunicação na 21. Veja se no conteúdo do pacote a informação do ip para a transferência no modo passivo está indo com o ip interno ou com o ip da sua wan. De qualquer forma a tentativa deveria chegado ao firewall.



  • Marcello,

    Ele sai com o ip da minha LAN - 10.1.1.10

    Estranho que a conexão com o host aparentemente parece ser estabelecida, ocorre o erro na transferência de dados algo relacionado a não conseguir ler os diretórios.

    A aplicação gera um log de erro:
    12:46:09 - Conectou com o Host FTP www61.dataprev.gov.br
    12:46:09 - Iniciando o envio do arquivo 00097857000171.20150424124609
    12:46:09 - Erro 10054: 10054:Connection reset by peer
    12:46:09 - Erro no envio do arquivo.
    12:46:09 - Erro 10054: 10054:Connection reset by peer
    12:46:09 - Erro 10054: 10054:Connection reset by peer
    12:46:09 - Desconectou do Host FTP.
    12:46:09 - Erro na desconexão do Host FTP.
    12:46:09 - Desconectou do Host FTP.

    Marcello segue em anexo uma captura.
    comando utilizado: tcpdump -w captura.pcap -i re1(Interface LAN) src 200.152.32.174

    OBS: Fiz um teste com um cliente FTP, conectei no IP 200.152.32.174 apos conexão o meu client FTP retorna um erro informando que não foi possivel listar os diretorios.

    captura.pcap.txt



  • Parece que as portas utilizadas pelo SISOBRANET são essas, libere-as veja se resolve, espero estar ajudando…

    port 21 # ftp e receita federal
    port 20 # Receita
    port 24 # Receita



  • Tomas Waldow,

    Muito obrigado por sua ajuda e disposição em resolver meu problema. Parabéns por sua competência, muito sucesso pra você.

    Solução: FTP proxy client



  • @eber_pfsense:

    Tomas Waldow,
    Muito obrigado por sua ajuda e disposição em resolver meu problema. Parabéns por sua competência, muito sucesso pra você.
    Solução: FTP proxy client

    Maravilha, que bom que deu certo.
    Poderia postar os passar que fez e as configurações para ficar registrado e ajudar a outros.
    Obrigado.



  • wrp,

    Para resolver meu problema instalei o pacote "FTP client proxy". Entre no meu FTP Proxy e abiite a opção FTP proxy e marque a interface LAN.

    Lembrando que cada caso e um caso.

    Explane aqui seu problema.

    Qualquer duvida entre em contato.



  • Agradeço aos colegas, foi só instalar o pacote de proxy ftp que funcionou na hora. Abraços !



  • Estou com o mesmo problema, instalei o ftp_client_proxy , ativei o serviço e setei LAN, na hora do envio ele o programa fica processado, e se for por fora do proxy da a mensagem "erro - envio do arquivo". tem mais alguma configuração no firewall. squid ou squidguard?