- Home
- Categorie
- Gaming, Hardware e Software
- Hardware e Reti: Computer & Telefonia - Accessori & Periferiche
- pfsense e ftp
-
Sono davanti a pfsense e rettifico:
la regola che mi permette di uplodare è:
**1) Proto: TCP, Source: LAN NET, port: *, destination: *, port: ***Confermo il resto.
Aggiungo questa simpatico controsenso (apparente): se modifico la regola precedente in:
**2) Proto: TCP, Source: LAN NET, port: 20-21, destination: *, port: ***
l'FTP non funziona più. Ricordo che esiste la regola precedente:
**3) Proto: TCP, Source: LAN NET, port: , destination: , port: 20-21Quindi fissando la regola 3) con la 1) l'FTP funziona e con la 2) no: mi sembra di poter trarre la logica conclusione che, sulla LAN, le porte 20-21 non c'entrino nulla e che (di conseguenza?) sia in entrata che in uscita sulla LAN si utilizzino porte random.
La nebbia si fa più densa....
-
Ok,
controllando i log, sono riuscito a restringere la regola per far funzionare l'upload:**2) Proto: TCP, Source: LAN NET, port: *, destination: 127.0.0.1, port: ***
(con WAN tutto chiuso), che è esattamente il consiglio con cui avevo aperto il thread. Resta confermato che occorrono tutte le porte.Sebbene sicuramente moooolto meno pericolosa della regola precedente (ora siamo protetti dall'esterno), cosa implica questa regola? Considerate che mi occorre anche selezionare gli accessi dall'interno verso l'esterno...
Arigrazie
-
dopo la tua esaustiva spiegazione, dobbiamo per forza trovare una soluzione al problema!
guarda un po quimagari potresti provare quel ftp helper.
oppure, forse è il bridge che da problemi. Ma vediamo un po tutto con pazienza (cliente permettendo)
-
@ceccus said:
Ciao a tutti,
ho installato pfsense su un vecchio pc con funzione di firewall. Il problema per il quale posto credo sia comune a molti firewall... il servizio ftp.Di base, quando uno si connette con un client ftp comunica con il server sulla porta 21, ma quando questo risponde utilizza diverse porte prese a cso... come configurare in tale situazione le regole firewall.
Ho letto in giro il curioso consiglio, di aprire tutte le porte verso il 127.0.0.1 (cioè verso il firewall) ma occhio e croce non mi sembra il massimo in termini di sicurezza...
Qualcuno ha suggerimenti in proposito?
Grazie a tutti!
Ci sono due modi di collegarsi con un client ftp: attivo e passivo.
Quello attivo usa le porte 21 e 20
Quello passivo usa la porta 21 e tutte quelle >1024Per prima cosa devi scegliere quale metodo usare....
Ciao,
greybear
-
Eccoci qua!
Grazie greybear per il consiglio... in realtà, non ho capito ancora per quale strano motivo ma per pfsense la modalità passiva o attiva non fa differenza......e ovviamente grazie ad Amarant che ha postato quel fantastico link... ma dove l'hai scovato? Dell'FTP helper ne ero già a conoscenza (una volta che l'ho disattivato mi si è piantato tutto ed ho dovuto ripristinare da backup). Il consiglio veramente utile che ho trovato è che il 127.0.0.1 usa le porte 8000-8020 per l'FTP (misteri della fede!!! :?).
Anche qui l'indicazione non era esatta per il mio caso ma molto vicina ad esserlo, è infatti sufficiente tenere aperta la 8021 per far funzionare l'FTP (sia in modalità attiva che passiva).Aggiornando il discorso quindi, la regola ulteriormente ristretta diventa:
*Proto: TCP, Source: LAN NET, port: , destination: 127.0.0.1, port: 8021Certo che la porta 8021 lascia moooooooolto perplessi... eppur si muove!
A questo punto credo che la regola sia sufficientemete stringente e sicura. Che me pensate?
-
Ma non sarà che per fare FTP passi per un proxy?
grey
-
No, no, niente proxy: dal pc passo per il firewall pfsense, modem adsl ed arrivo al server ftp...
-
Invece mi sa che greybear ha ragione.
Facendo un po di ricerca, ho visto che tu contatti un server ftp sulla porta 21 (come già lo sapiamo), ma pfsense fa il redirect verso una porta locale (guarda caso, la 8021) a modo di avere un ftp proxy trasparente... ma ci vuole lo stesso la regola sulla porta locale.
Quindi quando hai fatto:
**Proto: TCP, Source: LAN NET, port: *, destination: 127.0.0.1, port: 8021
**perché questa singola regola è solo per l'interfaccia locale (127.0.0.1) e non per tutte.
-
Come potrebbe accadere che passo per un proxy?
La rete la conosco abbastanza bene, non l'ho fatta io ma ormai da 5 anni sono l'unico a metterci le mani in modo pesante.
E' costituita da un unico hub (credo si chiami così) a 40 porte in cui confuiscono alcune stampanti, un paio di VOIP, un po' di PC windows, un pc linux che funge da server dati con samba (con funzioni anche di server wins) ed infine il pc con pfsense con il compito di dhcp (assegna gli IP a tutti i pc), firewall e gateway.
Il pc con pfsense è l'unico collegato verso l'esterno con un modem adsl.
Il proxy se c'è sta o sul modem adsl o su pfsense. Il modem è un modello commerciale da 30€, dubito che abbia un proxy, ma domani controllo. Resta pfsense, che effettivamente potrebbe nascondere cose poco note... Per quanto ne ho capito io, non ho attivato nessun server proxy... forse che c'è un'opzione con ftp proxy che però mi sfugge?
Forse lo stesso ftp helper, il cui funzionamento ancora mi sfugge, potrebbe essere il responsabile...Resto comunque confuso....
-
@ceccus said:
forse che c'è un'opzione con ftp proxy che però mi sfugge?