pfSenseがパケットを転送しない

FTPサーバーのWiresharkスクリーンショットは興味深いものです。応答がない場合は、応答できない（ルーティング/ NATの問題）か、応答しない（ファイアウォール）かを示しています。私の考え：

• FTPサーバーにローカルファイアウォールはありますか（iptables -L -vn）トラフィックをドロップしますか？ iptablesのINPUTまたはOUTPUTチェーンにDROPポリシーが含まれているが、FTPトラフィックおよび関連する/確立された接続の入出力を許可するルールがない場合は、問題になります。
• SSHおよびHTTPポートへのトラフィック（これらのサービスが実行されている場合）は、FTPトラフィックと同じ運命にありますか？私は専門家ではありませんが、FTPは複数のポート（20と21）を使用することが多いため、FTP固有の奇妙な動作を除外することをお勧めします。
• 10.0.0.xサブネット上の別のマシンからFTPサーバーへのTCP接続を取得できますか？FTPサーバーからのトラフィックは192.168.1.xネットワークに送信できますか？ 10.0.0.xサブネット内のトラフィックは適切に動作していますが、トラフィックは取得できません。pfSenseボックスのルーティング、NAT、またはファイアウォール設定に問題がある可能性があります。

pfSenseはFTPプロトコルを特別にサポートしており、アクティブモードとパッシブモードの両方に影響します。私の経験では、パッシブモードのDNAT構成は（そうでなければ通常は単純な）複雑になるだけです。とにかくパッシブモードを機能させるには、以下の手順を実行します。

に移動します：システム：詳細：システム調整可能パラメータ（.../system_advanced_sysctl.php）ページ。 1をdebug.pfftpproxyオプションに設定して、pf FTPプロキシハンドラーを無効にします。次に、データに特定のポート範囲を使用するようにFTPサーバーをセットアップし、TCP/21に加えてこれらを転送します。

ただし、可能な限り、FTPプロトコルは使用しないでください。 [〜＃〜] scp [〜＃〜]のような代替手段があり、本質的により安全であり（SSHベース）、より多くの認証オプションを許可し、すべてのアクティブ/パッシブ/ NAT /マルチポートの負担。

WANインターフェース（em0）でブロックプライベートネットワークが有効になっていますか？これは、ブロックボーガンネットワークのデフォルト設定であると思います。

http://i.stack.imgur.com/boREK.png

1. TCP SYNパケットを受信して​​いると言いますが、WANインターフェースにポート21（FTP）がLANインターフェース、つまりem1。
2. FTPサーバーには、10.0.0.1のデフォルトゲートウェイが必要です。
3. また、アウトバウンドNATルールが自動に設定されているかどうかを確認します。そうでない場合は、FTPから戻るパケットでルーティングの問題が発生します。
4. Pfsense> Diagnostics> ARPテーブルで、pfsense経由でFTPサーバーに到達できるかどうかを確認できます。 ICMPパケットをプライベートネットワーク上のデバイスに許可し、そこからトレースを開始することをお勧めします。トレースルートは、パケットが失われる場所を見つけるのにも役立ちます。