Regole per accesso siti FTP da parte dei client sotto PFSENSE



  • Buona sera a tutti (o dovrei dire buona notte visto l'ora tarda)
    Come ho scrtitto nell'oggetto del messaggio ho necessita' di sapere che regole inserire nel firewall per far si che dei client protetti dal firewall pfsense possano accedere a siti ftp che si trovano su internet.
    Naturalmente ho inserito la regola che mi permette di accedere hai siti ftp sulla porta 21, ma in passive mode devo permettere l'accesso anche a tutte le porte superiori alla1023 (almeno cosi' ho letto) ma ho paura di rendere il firewall piu' insicuro, quindi Vi chiedo quali sono le regole corrette per far si che i client accedono a diversi siti ftp mantenendo alta la sicurezza della rete interna.

    Grazie in anticipo…



  • Scusa, ma quelle porte le apri in uscita e non in entrata quindi il problema è nettamente inferiore.
    Ciao Fabio



  • Si, e' vero che aprire le porte in uscita e' meno problematico, ma vorrei capire che regole avete inserito Voi per far si che i Vostri client accedano a dei server ftp esterni alla Vostra rete, non penso che questo problema me lo sono posto solo io…

    Grazie



  • ti conviene installare il pacchetto "FTP Proxy", proprio per il problema di non aprire tutte le porte sopra 1023.
    Poi ovviamente devi configurare il client a puntare sul proxy.



  • Il problema è avvilente e non penso siano in pochi a riscontrarlo, io sto testando la versione 2.3 di pfsense, installazione fresca, client in lan dietro pfsense e collegamento ad un ftp passivo

    Personalmente ho provato ogni parametro possibile, ftp helper, UPnP, proxy, firewall rules, nat rules, riesco a collegarmi all'ftp remoto ma non c'è verso di riuscire a trasferire alcun file se non spuntando l'opzione da System > Advanced > Firewall & NAT l'opzione "Disable all packet filtering"

    Il problema si pone anche nel trasferimento di file con le connessioni al server di posta SSL in SMTP ma non ho ancora avuto modo di approfondire quel'aspetto

    Cose mai viste nelle versioni precedenti di PFSense, non so che fare



  • Ciao,
    che regole hai sull'interfaccia LAN?
    Io uso regolarmente FTP ed FTP over SSL senza problemi.
    Ciao Fabio



  • Il problema si pone quando filtri anche il traffico in uscita e non permetti il traffico verso tutte le porte non privilegiate maggiori della 1023.
    In questo modo FTP passivo non funziona, perché si tratta di un patetico protocollo che dopo il collegamento alla porta 21 apre un altro collegamento verso una porta arbitraria (definita dal server e che non puoi conoscere in anticipo) sul server stesso.
    In questo modo se tu permetti solo il traffico verso la porta 21, il trasferimento dei file non funzionerà sebbene l'autenticazione e l'accesso avvenga correttamente.
    FTP attivo dietro NAT invece non funziona (vedi documentazione ufficiale di pfSense).
    Il problema veniva risolto prima con FTP Proxy (pacchetto aggiuntivo), che alleviava il problema (sebbene fosse una rogna anche lui), ma nella versione 2.3 mi risulta sia stato tolto (sebbene non abbia ancora provato la versione 2.3).
    Voi che soluzioni avete trovato? Ovviamente soluzioni che non siano aprire tutto il traffico in uscita verso le porte >1023.