PFSENSE FTP EXTERNO HABILITAR ACTUALIZACION USHAY - RESUELTO



  • Saludos, les comento mi problema, en la empresa donde laboro, tenemos configurado un servidor proxy (Centos) con reglas en iptables, para toda nuestra red, el problema era con un software  al momento de realizar una actualización. Este software apunta a un sitio FTP Externo con una ip publica. Entonces investigando dimos  con la solución del  problema, habilitando el modprobe ip_nat_ftp en el servidor proxy (centos). Si todo funciona de maravilla simplemente habilitando este módulo, pero ahora está naciendo la necesidad de implementar un pfsense, con los servicios de proxy, con  portal cautivo, firewall en vez del servidor proxy (centos) tradicional que tenemos. Entonces para realizar las pruebas de configuración decide primero probar este software que alguna vez me dio problemas al momento de su actualización a los usuarios, instale un pfsense  2.2.4-RELEASE, con dos tarjetas de Red. En la red WAN tiene una ip pública x.x.x.x y en la Lan la 192.168.10.0/24 le hemos asignado en la reglas de firewall en la WAN  y en la LAN,  todo (any any) (*).

    Aquí viene el tema del FTP modo activo - pasivo, he investigado, pero no logro habilitar en el pfsense una regla en el firewall, nat que se parezca simplemente como el de habilitar el módulo  modprobe ip_nat_ftp con lo hice servidor proxy (Centos).

    Aquí realice una captura de los paquetes con el wireshark cuando no se logra obtener la actualización, es decir atreves del pfsense:

    595 53.876182000  190.152.98.244        192.168.10.3          FTP      77    Response: 230 Login successful.
    596 53.880101000  192.168.10.3          190.152.98.244        FTP      62    Request: TYPE I
    597 53.969350000  190.152.98.244        192.168.10.3          TCP      60    ftp > 49253 [ACK] Seq=119 Ack=45 Win=14720 Len=0
    598 53.969394000  190.152.98.244        192.168.10.3          FTP      85    Response: 200 Switching to Binary mode.
    599 53.971812000  192.168.10.3          190.152.98.244        FTP      81    Request: PORT 192,168,10,3,192,102
    600 54.032937000  190.152.98.244        192.168.10.3          FTP      81    Response: 500 Illegal PORT command.
    601 54.037655000  192.168.10.3          190.152.98.244        FTP      60    Request: QUIT
    602 54.107089000  190.152.98.244        192.168.10.3          FTP      68    Response: 221 Goodbye.

    Aquí realice una captura de los paquetes con el wireshark cuando se logra obtener la actualización, es decir con el servidor proxy (centos):

    452 13.221324000  190.152.98.244        192.168.10.3        FTP      77    Response: 230 Login successful.
    453 13.224743000  192.168.10.3        190.152.98.244        FTP      62    Request: TYPE I
    463 13.570863000  192.168.10.3        190.152.98.244        FTP      62    [TCP Retransmission] Request: TYPE I
    464 13.615527000  190.152.98.244      192.168.10.3        FTP      85    Response: 200 Switching to Binary mode.
    466 13.616717000  192.168.10.3        190.152.98.244        FTP      81    Request: PORT 192,168,10,218,192,102
    472 13.709526000  190.152.98.244        192.168.10.3        FTP      105    Response: 200 PORT command successful. Consider using PASV.
    473 13.709778000  192.168.10.3        190.152.98.244        FTP      104    Request: RETR USHAY_CONTRATANTE/CONFIGURACION/version.xml
    484 13.900807000  190.152.98.244        192.168.10.3        FTP      155    Response: 150 Opening BINARY mode data connection for USHAY_CONTRATANTE/CONFIGURACION/version.xml (92 bytes).
    490 14.012070000  190.152.98.244        192.168.10.3        FTP      78    Response: 226 Transfer complete.
    536 15.593282000  192.168.10.3      190.152.98.244        FTP      60    Request: QUIT
    547 15.694813000  190.152.98.244        192.168.10.3        FTP      68    Response: 221 Goodbye.

    Este fue el link de la respuesta:
    https://doc.pfsense.org/index.php/FTP_without_a_Proxy

    Solo instale el paquete  FTP Client Proxy desde System -> Packages, una vez instalado vamos a Services, FTP Client Proxy y active en la interface LAN que es donde los usuarios solicitan la actualización..



  • TFTP Proxy
    Choose the interfaces where you want TFTP proxy helper to be enabled.

    En System->Advanced->Firewall NAT



  • Saludos,  Te comento que realice los pasos indicados habilitando el TFTP proxy helper en las interfaces WAN y luego en la LAN, pero no se pudo conectar…...
    Algo mas q deba habilitar en el pfsense ?


  • Rebel Alliance

    @acriollo:

    TFTP Proxy
    Choose the interfaces where you want TFTP proxy helper to be enabled.

    En System->Advanced->Firewall NAT

    TFTP != FTP    ;)

    https://doc.pfsense.org/index.php/FTP_Troubleshooting

    https://doc.pfsense.org/index.php/FTP_without_a_Proxy



  • JAJAJA.

    tienes toda la razon ptt, se me barrio por completo.

    El tema es que estan usanto FTP activo , que requiere reglas de entrada pero los puertos son dinamicos , asi que lo mejor seria usar ftp pasivo pero parece que la aplicacion no lo soporta.

    otra referencia, pero al parecer es tema del ftp proxy del pfsense




  • Rebel Alliance

    De nada ! ;)

    Como decimos por aquí… Que bueno "que le hayas encontrado la vuelta"  :)



  • @ptt:

    De nada ! ;)

    Como decimos por aquí… Que bueno "que le hayas encontrado la vuelta"  :)

    Excelente  :D, este fue el link de la respuesta:
    https://doc.pfsense.org/index.php/FTP_without_a_Proxy

    Solo instale el paquete  FTP Client Proxy desde System -> Packages, una vez instalado vamos a Services, FTP Client Proxy y active en la interface LAN que es donde los usuarios solicitan la actualización..

    Muchas Gracias ptt van 10  Puntos…



  • Buen Dia.

    Para poder realizar la  actualizacion de ushay ademas de instalar el FTP Client Proxy y seleccionar la interfaz LAN
    tuve que activar la opcion Early Firewall Rule y con eso ya funcionó la actualización del programa ushay.

    Saludos.



  • Saludos

    Tengo el mismo problema, pero ya no esta disponible el paquete del cliente ftp, que se podría hacer ahi



  • ya me di cuenta que para la version de Pfsense de 32 bits no esta disponible, para la de 64 si, realizare el respectivo cambio…



  • Gracias  el dato, juanka20g  funciona en mi pfsense 2.4.1 :D


Log in to reply