Назад | Перейти на главную страницу

pfSense не пересылает пакеты назад

У меня есть установка pfSense, где мой WAN-интерфейс (em0) настроен в моей локальной сети (192.168.1.100), а мой LAN-интерфейс (em1) является собственной частной сетью (10.0.0.1). Конечная цель - сделать сеть 10.0.0.x частной лабораторией вредоносных программ, при которой устройства в этой сети не смогут напрямую общаться ни с чем в сети 192.168.1.x. Тем не менее, я хотел бы пробить дыры в брандмауэре pfSense, чтобы разрешить трафику из сети 192.168.1.x для доступа к службам в частной сети, таким как FTP, HTTP, SMB, SSH и т. Д. Итак, если я FTP на 192.168.1.100 (Интерфейс WAN), тогда он будет маршрутизироваться на FTP-сервер, работающий на устройстве, внутреннем для 10.0.0.x. В настоящее время я вижу, что мой FTP-сервер получает пакет TCP SYN, но больше ничего не происходит.

И я вижу некоторые FTP-трафик через pfSense с tcpdump.

Вот мои правила переадресации портов NAT (у них также есть связанное правило фильтра).

А также, если это полезно, правила брандмауэра моей локальной сети.

Я подумал, что, возможно, произошла ошибка с моими правилами блокировки, чтобы заблокировать трафик 192.168.1.x из сети 10.0.0.x, но у меня это правило отключено. Я в полной растерянности и не понимаю, что происходит не так, поэтому любая помощь будет очень признательна!

Снимок экрана Wireshark на FTP-сервере интересен - отсутствие ответа говорит о том, что он либо не может (проблемы с маршрутизацией / NAT), либо не будет (брандмауэр) ответить. Мои идеи:

  • Есть ли у FTP-сервера локальный брандмауэр (проверьте с помощью iptables -L -vn) сбрасывает трафик? Если iptables INPUT или OUTPUT цепи имеют DROP policy, но у вас нет правил, разрешающих вход и выход FTP-трафика и связанных / установленных подключений, это было бы проблемой.
  • Постигает ли трафик к портам SSH и HTTP (при условии, что эти службы работают) та же участь, что и трафик FTP? Я не эксперт, но FTP часто использует несколько портов (20 и 21), поэтому было бы неплохо исключить странное поведение, характерное для FTP.
  • Можете ли вы получить TCP-соединение от другого компьютера в подсети 10.0.0.x к FTP-серверу? Может ли трафик с FTP-сервера выйти в сеть 192.168.1.x? Если трафик в подсети 10.0.0.x работает нормально, но трафик не может выйти, возможно, проблема с настройками маршрутизации, NAT или брандмауэра в блоке pfSense.

Предполагая, что предоставленная адресация - это то, что у вас есть - включена ли у вас блокировка частных сетей на интерфейсе WAN (em0)? Я считаю, что это настройка по умолчанию вместе с блокировкой сетей Bogan.

http://i.stack.imgur.com/boREK.png

pfSense имеет специальную поддержку протокола FTP, который влияет как на активный, так и на пассивный режимы. Мой опыт показывает, что это только усложняет (обычно простую) настройку DNAT для пассивного режима. В любом случае, я мог заставить работать только пассивный режим, выполнив следующие шаги.

Перейти к Система: Расширенная: Системные настройки (... / system_advanced_sysctl.php) страница. Устанавливать 1 для debug.pfftpproxy опция, чтобы отключить обработчик прокси pf FTP. Теперь настройте свой FTP-сервер на использование определенного диапазона портов для данных и пересылайте их в дополнение к TCP / 21.

Однако, по возможности, избегайте протокола FTP. Есть альтернативы вроде SCP, более безопасный по своей природе (на основе SSH), позволяющий использовать больше вариантов аутентификации и без нагрузки на активный / пассивный / NAT / многопортовый.

  1. Хотя вы говорите, что получаете пакет TCP SYN, но я думаю, что у вас должно быть правило брандмауэра на интерфейсе WAN, чтобы порт 21 (FTP) мог переходить к интерфейсу LAN, то есть em1.
  2. FTP-сервер должен иметь шлюз по умолчанию 10.0.0.1.
  3. Также проверьте, установлено ли для правила NAT исходящего трафика значение «Автоматически». Если это не так, у вас возникают проблемы с маршрутизацией пакетов, возвращаемых с FTP.
  4. В pfsense> Диагностика> Таблица ARP должна сообщить вам, доступен ли FTP-сервер через pfsense. Лучше начать с разрешения пакетов ICMP на устройство в частной сети и начать отслеживание оттуда. Маршрут трассировки также должен помочь найти, где теряются ваши пакеты.