pfSense não encaminhando pacotes de volta

3

Eu tenho uma configuração de caixa pfSense onde minha interface WAN (em0) está configurada na minha rede local (192.168.1.100) e minha interface LAN (em1) é uma rede privada própria (10.0.0.1). O objetivo final é ter a rede 10.0.0.x como laboratório de malware privado, onde os dispositivos nessa rede não podem falar diretamente com nada na rede 192.168.1.x. Embora, eu gostaria de fazer furos no firewall pfSense para permitir que o tráfego da rede 192.168.1.x para acessar serviços na rede privada, como FTP, HTTP, SMB, SSH, etc Então, se eu FTP para 192.168.1.100 (Interface WAN), em seguida, ele irá rotear para o servidor FTP em execução em um dispositivo interno para 10.0.0.x. Atualmente eu posso ver que meu servidor FTP recebe um pacote TCP SYN, mas nada mais acontece.

EconsigoveralgumtráfegoFTPatravésdopfSensecomotcpdump.

AquiestãominhasregrasdeencaminhamentodeportaNAT(elastambémtêmumaregradefiltroassociada).

Etambém,seforútil,asregrasdefirewalldaminhaLANtambém.

Eu pensei que talvez houvesse um erro com minhas regras de bloqueio para bloquear o tráfego 192.168.1.x da rede 10.0.0.x, mas tenho essa regra desativada. Eu estou em uma perda total e não entendo o que está errado, então qualquer ajuda seria muito apreciada!

    
por Chiggins 19.08.2015 / 02:21

4 respostas

1

A captura de tela do Wireshark no servidor FTP é interessante - a falta de uma resposta sugere que ela não pode (problemas de roteamento / NAT) ou não (firewall) responderá. Minhas ideias:

  • O servidor FTP tem um firewall local (verifique com iptables -L -vn ) descartando tráfego? Se as cadeias INPUT ou OUTPUT do iptables tiverem a política DROP , mas você não tiver regras que permitam o tráfego FTP e conexões / conexões relacionadas / estabelecidas, isso seria um problema.
  • O tráfego para as portas SSH e HTTP (desde que esses serviços estejam sendo executados) sofre o mesmo destino que o tráfego FTP? Não sou especialista, mas o FTP geralmente usa várias portas (20 e 21), portanto, pode ser bom excluir o comportamento estranho específico do FTP.
  • Você pode obter uma conexão TCP de outra máquina na sub-rede 10.0.0.x para o servidor FTP? Algum tráfego do servidor FTP pode sair para a rede 192.168.1.x? Se o tráfego dentro da sub-rede 10.0.0.x estiver se comportando corretamente, mas nenhum tráfego puder sair, pode haver um problema com as configurações de roteamento, NAT ou firewall na caixa pfSense.
por 27.08.2015 / 22:17
0
  1. Embora você diga que está recebendo pacotes TCP SYN, mas eu acho que você deve ter uma regra de firewall na interface WAN para permitir que a porta 21 (FTP) vá para a interface LAN, ou seja, em1.
  2. O servidor FTP deve ter o gateway padrão de 10.0.0.1.
  3. Verifique também se a regra NAT de saída está definida como Automática. Se não é do que você experimenta o problema de roteamento com pacotes que retornam do FTP.
  4. No pfsense > Diagnóstico > A tabela ARP deve informar se o servidor FTP pode ser acessado via pfsense. É melhor começar com a permissão de pacotes ICMP em um dispositivo na rede privada e iniciar o rastreamento a partir daí. Rota de rastreamento também deve ajudar a encontrar onde seus pacotes se perdem.
por 27.08.2015 / 10:15
0

O pfSense tem um suporte especial para o protocolo FTP, que afeta os modos ativo e passivo. Minha experiência é que isso apenas complica (normalmente simples) a configuração DNAT para o modo passivo. Eu só consegui fazer o modo passivo funcionar de qualquer maneira, com os passos abaixo.

Vá para a página Sistema: Avançado: System Tunables ( ... / system_advanced_sysctl.php ). Defina 1 para a opção debug.pfftpproxy , para desativar o manipulador de proxy pf FTP. Agora, configure seu servidor FTP para usar um intervalo de portas específico para dados e encaminhe-os, além do TCP / 21.

No entanto, sempre que possível, evite o protocolo FTP. Existem alternativas como SCP , mais seguras por natureza (baseadas em SSH), permitindo mais opções de autenticação e sem toda a carga ativa / passiva / NAT / multiporta.

    
por 28.08.2015 / 00:10
0

Assumindo que o endereçamento fornecido é o que você tem - você tem redes privadas de bloco ativadas na interface WAN (em0)? Acredito que esta é uma configuração padrão junto com as redes block bogan.

link

    
por 29.08.2015 / 07:16