none
FTP sem acesso RRS feed

  • Pergunta

  • Amigos estou com um problema estranho:

    Ate sexta-feira passada eu conseguia acessar o ftp da empresa ( cujo dominio esta hospedado na locaweb) normalmente, a tempos eu fiz uma regra no TMG do protocolo FTP da rede interna para externa, e sempre deu certo.

    Hoje nao consegui acessar o mesmo ftp, e monitorando pelo log do TMG vi que estava solicitando outras portas alem da 21, enfim eu tive que liberar um range de portas outbond, da 60001 ate 60197, para conseguir acessar novamente.

    O Acesso sempre foi feito e é feito atraves do filezila.

    Gostaria de ajuda dos amigos para essa situação nada normal.

    Liguei na locaweb porem eles dizem que nao existem problemas la,

    O problema poderia estar no TMG ?

    terça-feira, 15 de maio de 2012 18:03

Respostas

  • Verificou se a opção abaixo está habilitada no filtro FTP do TMG?

    Vai em system - application filter - ftp access filter.

    Se isso não funcionar verifica a origem da requisição...pra estar sendo tratado pela default rule, tem algo errado na origem.


    Uilson Souza Senior Sr IT Project Analyst Microsoft Certified Technology Specialist - ISA Server 2006 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.wordpress.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin http://www.linkedin.com/groups? mostPopular=&gid=3774142

    • Marcado como Resposta Diego_nogueira terça-feira, 15 de maio de 2012 21:28
    terça-feira, 15 de maio de 2012 20:17
  • Entao, uilson

    O que acontece, eu tenho uma regra de liberação do FTP, apenas para porta 21, ta caindo na default rule pois nao tem a porta 60177 aberta em nenhuma outra regra.

    Quanto ao ftp access filter, esta sim ativado

    • Marcado como Resposta Diego_nogueira terça-feira, 15 de maio de 2012 21:28
    terça-feira, 15 de maio de 2012 21:01

Todas as Respostas

  • Diego,

    O acesso ao proxy está corretamente configurado no filezila? Se afirmativo verifique nas log's o tipo de acesso que o mesmo faz. Eu tive um problema com filezila no mac onde o mesmo trafega na porta 21 em SSL, ou seja, para que isso funcione é necessário extender porta SSL no TMG via script.


    Uilson Souza Senior Sr IT Project Analyst Microsoft Certified Technology Specialist - ISA Server 2006 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.wordpress.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin http://www.linkedin.com/groups? mostPopular=&gid=3774142

    terça-feira, 15 de maio de 2012 19:40
  • Olá Uilson, obrigado por responder

    O que me intriga primeiramente é que nunca fiz nenhuma configuração no Filezila, e sempre funcionou saindo pela porta 21, isso é o que mais me intriga, e nao foi alterado nada no servidor de sexta-feira ate hoje.

    Porem monitorando pelos Logs obtenho isso do filezila:

    Resposta: 230 OK. Current restricted directory is /

    Comando: SYST

    Resposta: 215 UNIX Type: L8

    Comando: FEAT

    Resposta: 211-Extensions supported:

    Resposta: EPRT

    Resposta: IDLE

    Resposta: MDTM

    Resposta: SIZE

    Resposta: REST STREAM

    Resposta: MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;

    Resposta: MLSD

    Resposta: AUTH TLS

    Resposta: PBSZ

    Resposta: PROT

    Resposta: UTF8

    Resposta: ESTA

    Resposta: PASV

    Resposta: EPSV

    Resposta: SPSV

    Resposta: ESTP

    Resposta: 211 End.

    Comando: OPTS UTF8 ON

    Resposta: 200 OK, UTF-8 enabled

    Estado: Conectado

    Estado: Obtendo lista de pastas...

    Comando: PWD

    Resposta: 257 "/" is your current location

    Comando: TYPE I

    Resposta: 200 TYPE is now 8-bit binary

    Comando: PASV

    Resposta: 227 Entering Passive Mode (187,45,240,20,234,214)

    Comando: MLSD

    Erro: A conexão excedeu limite de tempo

    Erro: Falha na obtenção da lista de pastas

    ---------------------------------------------------------------------------------------------------

    E nos logs do TMG isso:

    Denied Connection

    Log type: Firewall service

    Status: Acesso negado.

    Rule: Default rule

    Source: Internal (192.168.0.144:50246)

    Destination: External (hm4500.locaweb.com.br 187.45.240.20:60177)

    Ou seja tenho que abrir essa porta 60177 e depois pede mais 153 portas acima da 60000 para abrir


    O problema é no TMG? LocaWeb? ou Filezila ?
    • Editado Diego_nogueira terça-feira, 15 de maio de 2012 20:00 acresss
    terça-feira, 15 de maio de 2012 19:56
  • Verificou se a opção abaixo está habilitada no filtro FTP do TMG?

    Vai em system - application filter - ftp access filter.

    Se isso não funcionar verifica a origem da requisição...pra estar sendo tratado pela default rule, tem algo errado na origem.


    Uilson Souza Senior Sr IT Project Analyst Microsoft Certified Technology Specialist - ISA Server 2006 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.wordpress.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin http://www.linkedin.com/groups? mostPopular=&gid=3774142

    • Marcado como Resposta Diego_nogueira terça-feira, 15 de maio de 2012 21:28
    terça-feira, 15 de maio de 2012 20:17
  • Entao, uilson

    O que acontece, eu tenho uma regra de liberação do FTP, apenas para porta 21, ta caindo na default rule pois nao tem a porta 60177 aberta em nenhuma outra regra.

    Quanto ao ftp access filter, esta sim ativado

    • Marcado como Resposta Diego_nogueira terça-feira, 15 de maio de 2012 21:28
    terça-feira, 15 de maio de 2012 21:01
  • Ola Diego, tudo bem?

    O acesso que voce esta fazendo ao servidor FTP, esta errado!

    Esse servidor que voce esta acessando ele é um servidor FTP passivo, e não ativo!
    O Passivo trabalha com portas randomicas para conexão com portas altas! ( Mais seguro )
    O FTP Ativo trabalha apenas com a porta 21, autenticando usuario e a senha! ( Simples!)

    Neste caso eu te aconselho a criar uma regra all outbound ( Liberando todo o trafego de saida ) para o IP
    ou dominio para seu servidor FTP.

    Qualquer duvida posta ai


    Júnior Ramos MCSE-MCSA-MCTS

    quinta-feira, 17 de maio de 2012 13:31