URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 58871
[ Назад ]

Исходное сообщение
"Ошибка с правами записи на FTP после прохождения траффика через ..."

Отправлено cisco_fan , 04-Авг-05 11:05 
Проблема: После прохождения нескольких прокси, firewall-ов и ipsec тунеля пропадает возможность писать на FTP сервер.

Имею: FreeBSD 5.4 На ней крутится ftpd -d -l -l -p -S -U
Находится сервер в DMZ у PIX515E-R, листы вида:
access-list ins_acl permit tcp host <ip1> host <ftp ip> eq ftp-data
access-list ins_acl permit tcp host <ip1> host <ftp ip> eq ftp
В локалке центральный коммутатор 4506 и с другой стороны еще один PIX515E. На нем ряд IPSec тунелей, в часности с таким же 515ым и c 2611XM. За этими девайсами разные локалки, но в обоих имеется ISA (у одних 2000, у других 2004). На FTP юзерам даны права на чтение и запись. НО ПОДКЛЮЧАЯСЬ К FTP ПО ОПИСАННОЙ ВЫШЕ СХЕМЕ ОНИ МОГУТ ТОЛЬКО ЧИТАТЬ!!! При этом подключаясь с машины с прямым ip через EasyVPN Client и заходя под их логинами я нормально записываю и удаляю файлы...

Кто-нибудь резолвил подобный трабл? Где искать слабое звено? ISA?


Содержание

Сообщения в этом обсуждении
"Ошибка с правами записи на FTP после прохождения траффика че..."
Отправлено toor99 , 04-Авг-05 11:23 
Рассуждайте логически.
Я правильно понял, что юзеры могут отдавать командs "ls" и "get" и получать результат? В то же время, они не могут отдавать команду "put". Так?
Тогда, совершенно очевидно, что дело тут не в NATах или туннелях, а несколькими этажами выше. Возможно ISA, возможно инспектор трафика на PIXах. Трудно сказать наверняка, это вам должно быть оттуда виднее.

"Ошибка с правами записи на FTP после прохождения траффика че..."
Отправлено cisco_fan , 04-Авг-05 12:34 
>Рассуждайте логически.
>Я правильно понял, что юзеры могут отдавать командs "ls" и "get" и
>получать результат? В то же время, они не могут отдавать команду
>"put". Так?
>Тогда, совершенно очевидно, что дело тут не в NATах или туннелях, а
>несколькими этажами выше. Возможно ISA, возможно инспектор трафика на PIXах. Трудно
>сказать наверняка, это вам должно быть оттуда виднее.


Я все описал на всякий случай, вдруг у меня помутнение... Я на 99% уверен что это ISA, потому как через мои PIX-ы все остальные ходят нормально, и конфиги удаленных я тоже видел. Уже тестирую...