PFSENSE FTP EXTERNO HABILITAR ACTUALIZACION USHAY - RESUELTO
-
Saludos, les comento mi problema, en la empresa donde laboro, tenemos configurado un servidor proxy (Centos) con reglas en iptables, para toda nuestra red, el problema era con un software al momento de realizar una actualización. Este software apunta a un sitio FTP Externo con una ip publica. Entonces investigando dimos con la solución del problema, habilitando el modprobe ip_nat_ftp en el servidor proxy (centos). Si todo funciona de maravilla simplemente habilitando este módulo, pero ahora está naciendo la necesidad de implementar un pfsense, con los servicios de proxy, con portal cautivo, firewall en vez del servidor proxy (centos) tradicional que tenemos. Entonces para realizar las pruebas de configuración decide primero probar este software que alguna vez me dio problemas al momento de su actualización a los usuarios, instale un pfsense 2.2.4-RELEASE, con dos tarjetas de Red. En la red WAN tiene una ip pública x.x.x.x y en la Lan la 192.168.10.0/24 le hemos asignado en la reglas de firewall en la WAN y en la LAN, todo (any any) (*).
Aquí viene el tema del FTP modo activo - pasivo, he investigado, pero no logro habilitar en el pfsense una regla en el firewall, nat que se parezca simplemente como el de habilitar el módulo modprobe ip_nat_ftp con lo hice servidor proxy (Centos).
Aquí realice una captura de los paquetes con el wireshark cuando no se logra obtener la actualización, es decir atreves del pfsense:
595 53.876182000 190.152.98.244 192.168.10.3 FTP 77 Response: 230 Login successful.
596 53.880101000 192.168.10.3 190.152.98.244 FTP 62 Request: TYPE I
597 53.969350000 190.152.98.244 192.168.10.3 TCP 60 ftp > 49253 [ACK] Seq=119 Ack=45 Win=14720 Len=0
598 53.969394000 190.152.98.244 192.168.10.3 FTP 85 Response: 200 Switching to Binary mode.
599 53.971812000 192.168.10.3 190.152.98.244 FTP 81 Request: PORT 192,168,10,3,192,102
600 54.032937000 190.152.98.244 192.168.10.3 FTP 81 Response: 500 Illegal PORT command.
601 54.037655000 192.168.10.3 190.152.98.244 FTP 60 Request: QUIT
602 54.107089000 190.152.98.244 192.168.10.3 FTP 68 Response: 221 Goodbye.Aquí realice una captura de los paquetes con el wireshark cuando se logra obtener la actualización, es decir con el servidor proxy (centos):
452 13.221324000 190.152.98.244 192.168.10.3 FTP 77 Response: 230 Login successful.
453 13.224743000 192.168.10.3 190.152.98.244 FTP 62 Request: TYPE I
463 13.570863000 192.168.10.3 190.152.98.244 FTP 62 [TCP Retransmission] Request: TYPE I
464 13.615527000 190.152.98.244 192.168.10.3 FTP 85 Response: 200 Switching to Binary mode.
466 13.616717000 192.168.10.3 190.152.98.244 FTP 81 Request: PORT 192,168,10,218,192,102
472 13.709526000 190.152.98.244 192.168.10.3 FTP 105 Response: 200 PORT command successful. Consider using PASV.
473 13.709778000 192.168.10.3 190.152.98.244 FTP 104 Request: RETR USHAY_CONTRATANTE/CONFIGURACION/version.xml
484 13.900807000 190.152.98.244 192.168.10.3 FTP 155 Response: 150 Opening BINARY mode data connection for USHAY_CONTRATANTE/CONFIGURACION/version.xml (92 bytes).
490 14.012070000 190.152.98.244 192.168.10.3 FTP 78 Response: 226 Transfer complete.
536 15.593282000 192.168.10.3 190.152.98.244 FTP 60 Request: QUIT
547 15.694813000 190.152.98.244 192.168.10.3 FTP 68 Response: 221 Goodbye.Este fue el link de la respuesta:
https://doc.pfsense.org/index.php/FTP_without_a_ProxySolo instale el paquete FTP Client Proxy desde System -> Packages, una vez instalado vamos a Services, FTP Client Proxy y active en la interface LAN que es donde los usuarios solicitan la actualización..
-
TFTP Proxy
Choose the interfaces where you want TFTP proxy helper to be enabled.En System->Advanced->Firewall NAT
-
Saludos, Te comento que realice los pasos indicados habilitando el TFTP proxy helper en las interfaces WAN y luego en la LAN, pero no se pudo conectar…...
Algo mas q deba habilitar en el pfsense ? -
TFTP Proxy
Choose the interfaces where you want TFTP proxy helper to be enabled.En System->Advanced->Firewall NAT
TFTP != FTP ;)
https://doc.pfsense.org/index.php/FTP_Troubleshooting
https://doc.pfsense.org/index.php/FTP_without_a_Proxy
-
JAJAJA.
tienes toda la razon ptt, se me barrio por completo.
El tema es que estan usanto FTP activo , que requiere reglas de entrada pero los puertos son dinamicos , asi que lo mejor seria usar ftp pasivo pero parece que la aplicacion no lo soporta.
otra referencia, pero al parecer es tema del ftp proxy del pfsense
-
http://bronsonitinnovations.blogspot.mx/2010/11/client-outbound-ftp-is-not-working.html
-
De nada ! ;)
Como decimos por aquí… Que bueno "que le hayas encontrado la vuelta" :)
-
@ptt:
De nada ! ;)
Como decimos por aquí… Que bueno "que le hayas encontrado la vuelta" :)
Excelente :D, este fue el link de la respuesta:
https://doc.pfsense.org/index.php/FTP_without_a_ProxySolo instale el paquete FTP Client Proxy desde System -> Packages, una vez instalado vamos a Services, FTP Client Proxy y active en la interface LAN que es donde los usuarios solicitan la actualización..
Muchas Gracias ptt van 10 Puntos…
-
Buen Dia.
Para poder realizar la actualizacion de ushay ademas de instalar el FTP Client Proxy y seleccionar la interfaz LAN
tuve que activar la opcion Early Firewall Rule y con eso ya funcionó la actualización del programa ushay.Saludos.
-
Saludos
Tengo el mismo problema, pero ya no esta disponible el paquete del cliente ftp, que se podría hacer ahi
-
ya me di cuenta que para la version de Pfsense de 32 bits no esta disponible, para la de 64 si, realizare el respectivo cambio…
-
Gracias el dato, juanka20g funciona en mi pfsense 2.4.1 :D
