До сих пор не получилось ничего сделать. я просто уже не знаю где копать.Через rinetd пробросом 20 и 21 порта не помогло.
Настройкой через natd из топика
http://www.opennet.me/openforum/vsluhforumID1/66731.html не помогает тоже...Как делаю:
сервер с freebsd 6.1 смотрит наружу интерфейсом 195.16.х.х
внутри локалки есть FTP-сервер с интерфейсом fxp0 192.168.1.х
сервер работает в активном режиме (дабы ограничиться 20 и 21 портом)опции ядра:
options IPDIVERT
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_FORWARD_EXTENDED
rc.conf:
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"в natd.conf:
same_ports yes
use_sockets yes
redirect_port tcp 192.168.1.х:21 195.16.х.х:21в файрволе (даже упростил сейчас его, покомментив все лишнее что может мешать):
/sbin/ipfw -q add 299 divert natd all from any to any via fxp0
/sbin/ipfw -q add 300 allow all from any to any via lo0
/sbin/ipfw -q add 400 deny log icmp from any to any in icmptype 5,9,13,14,15,16,17,18
/sbin/ipfw -q add 410 allow icmp from any to any
/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21 setup
/sbin/ipfw -q add 416 allow tcp from me 20 to any setup
/sbin/ipfw -q add 442 allow all from me to any out via fxp0
/sbin/ipfw -q add 443 allow all from me to any out via em0
и не пашет. тоесть СОВСЕМ.
на 21 порту fxp0 не отвечает никто вообще.где у меня грабли то?
>До сих пор не получилось ничего сделать. я просто уже не знаю
>где копать.
>
>Через rinetd пробросом 20 и 21 порта не помогло.
>Настройкой через natd из топика
>http://www.opennet.me/openforum/vsluhforumID1/66731.html не помогает тоже...
>
>Как делаю:
>
>сервер с freebsd 6.1 смотрит наружу интерфейсом 195.16.х.х
>внутри локалки есть FTP-сервер с интерфейсом fxp0 192.168.1.х
>сервер работает в активном режиме (дабы ограничиться 20 и 21 портом)
>
>опции ядра:
>options IPDIVERT
>options IPFIREWALL
>options IPFIREWALL_VERBOSE
>options IPFIREWALL_FORWARD
>options IPFIREWALL_FORWARD_EXTENDED
>
>
>rc.conf:
>natd_interface="fxp0"
>natd_flags="-f /etc/natd.conf"
>
>в natd.conf:
>same_ports yes
>use_sockets yes
>redirect_port tcp 192.168.1.х:21 195.16.х.х:21
>
>в файрволе (даже упростил сейчас его, покомментив все лишнее что может мешать):
>
>/sbin/ipfw -q add 299 divert natd all from any to any via
>fxp0
>/sbin/ipfw -q add 300 allow all from any to any via lo0
>
>/sbin/ipfw -q add 400 deny log icmp from any to any in
>icmptype 5,9,13,14,15,16,17,18
>/sbin/ipfw -q add 410 allow icmp from any to any
>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21 setup
>
>/sbin/ipfw -q add 416 allow tcp from me 20 to any setup
>
>/sbin/ipfw -q add 442 allow all from me to any out via
>fxp0
>/sbin/ipfw -q add 443 allow all from me to any out via
>em0
>
>
>и не пашет. тоесть СОВСЕМ.
>на 21 порту fxp0 не отвечает никто вообще.
>
>где у меня грабли то?а /etc/rc.conf не покажешь? (на предмет всяких gateway и firewall)
>а /etc/rc.conf не покажешь? (на предмет всяких gateway и firewall)gateway_enable="YES"
firewall_enable="YES"сам файрвол запускаю шелл скриптом из rc.d
>До сих пор не получилось ничего сделать. я просто уже не знаю
>где копать.
>
>Через rinetd пробросом 20 и 21 порта не помогло.
>Настройкой через natd из топика
>http://www.opennet.me/openforum/vsluhforumID1/66731.html не помогает тоже...
>
>Как делаю:
>
>сервер с freebsd 6.1 смотрит наружу интерфейсом 195.16.х.х
>внутри локалки есть FTP-сервер с интерфейсом fxp0 192.168.1.х
>сервер работает в активном режиме (дабы ограничиться 20 и 21 портом)
>
>опции ядра:
>options IPDIVERT
>options IPFIREWALL
>options IPFIREWALL_VERBOSE
>options IPFIREWALL_FORWARD
>options IPFIREWALL_FORWARD_EXTENDED
>
>
>rc.conf:
>natd_interface="fxp0"
>natd_flags="-f /etc/natd.conf"
>
>в natd.conf:
>same_ports yes
>use_sockets yes
>redirect_port tcp 192.168.1.х:21 195.16.х.х:21
>
>в файрволе (даже упростил сейчас его, покомментив все лишнее что может мешать):
>
>/sbin/ipfw -q add 299 divert natd all from any to any via
>fxp0
>/sbin/ipfw -q add 300 allow all from any to any via lo0
>
>/sbin/ipfw -q add 400 deny log icmp from any to any in
>icmptype 5,9,13,14,15,16,17,18
>/sbin/ipfw -q add 410 allow icmp from any to any
>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21 setup
>
>/sbin/ipfw -q add 416 allow tcp from me 20 to any setup
>
>/sbin/ipfw -q add 442 allow all from me to any out via
>fxp0
>/sbin/ipfw -q add 443 allow all from me to any out via
>em0
>
>
>и не пашет. тоесть СОВСЕМ.
>на 21 порту fxp0 не отвечает никто вообще.
>
>где у меня грабли то?
1) откуда идет клиент? если он в инет вылазит через динамический НАТ (маскарадинг) то фтп в активе работать не будет и это проблема на стороне _клиента_
2) а кто вам сказал что активный фтп исключает возможность использования произвольного порта для потока данных? есть такая командочка ftp-протокола как PORT (а не только PASV)
использовать ее или нет - определяется _клиентом_ опять же\^P^/
>>и не пашет. тоесть СОВСЕМ.
>>на 21 порту fxp0 не отвечает никто вообще.
>>
>>где у меня грабли то?
>1) откуда идет клиент? если он в инет вылазит через динамический НАТ
>(маскарадинг) то фтп в активе работать не будет и это проблема
>на стороне _клиента_
>2) а кто вам сказал что активный фтп исключает возможность использования произвольного
>порта для потока данных? есть такая командочка ftp-протокола как PORT (а
>не только PASV)
>использовать ее или нет - определяется _клиентом_ опять же
>
но ведь в любом случае по 21 порту должен ftp сервер подавать хотя бы признаки жизни? в плане телнета на 21 порт объявлять себя? так ведь не объявляет же... вот в чем загвоздка.я могу опять же пользуясь той статьей сделать вариант для пассива, и вижу что мне так и надо делать... но пока надо хотя бы понять почему у меня не пашет проброс этот как в примере написано. 21 порт никак не проявляет себя.
>>>и не пашет. тоесть СОВСЕМ.tcpdump запусти и смотри что куда ходит
grep ftp /etc/services
ftp-data 20/tcp #File Transfer [Default Data]
ftp 21/tcp #File Transfer [Control]
У тебя 21 перебрасывается, а 20 нет...т.е. надо в natd.conf:
same_ports yes
use_sockets yes
redirect_port tcp 192.168.1.х:21 195.16.х.х:21
redirect_port tcp 192.168.1.х:20 195.16.х.х:20
>grep ftp /etc/services
>ftp-data 20/tcp
> #File Transfer [Default Data]
>ftp
> 21/tcp #File Transfer [Control]
>У тебя 21 перебрасывается, а 20 нет...
>
>т.е. надо в natd.conf:
>same_ports yes
>use_sockets yes
>redirect_port tcp 192.168.1.х:21 195.16.х.х:21
>redirect_port tcp 192.168.1.х:20 195.16.х.х:20поставил проброс обоих - не помогло. еще раз повторяю - при правильном пробросе хотя бы 21 порта я бы уже получал ответ от сервера внутреннего в виде пригласительной строки типа Ftp-Service такой то Ready
а так тишина...более того, когда проброс организую через rinetd то эхо ответ получаю.
>>grep ftp /etc/services
>>ftp-data 20/tcp
>> #File Transfer [Default Data]
>>ftp
>> 21/tcp #File Transfer [Control]
>>У тебя 21 перебрасывается, а 20 нет...
>>
>>т.е. надо в natd.conf:
>>same_ports yes
>>use_sockets yes
>>redirect_port tcp 192.168.1.х:21 195.16.х.х:21
>>redirect_port tcp 192.168.1.х:20 195.16.х.х:20
>
>поставил проброс обоих - не помогло. еще раз повторяю - при правильном
>пробросе хотя бы 21 порта я бы уже получал ответ от
>сервера внутреннего в виде пригласительной строки типа Ftp-Service такой то Ready
>
>а так тишина...
>
>более того, когда проброс организую через rinetd то эхо ответ получаю.А правила фаервола такие же и оставил?
Если да, то добавь
/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21
/sbin/ipfw -q add 416 allow tcp from 192.168.1.х 21 to any
/sbin/ipfw -q add 417 allow tcp from any to 192.168.1.х 20
/sbin/ipfw -q add 418 allow tcp from 192.168.1.х 20 to any
ЗЫ. setup пишешь, а разрешить established ?
А вообще tcpdump на оба интерфейса. и многое станет ясно
>А вообще tcpdump на оба интерфейса. и многое станет яснодамп fxp0 - внешнего интерфейса в инет
12:42:29.396350 IP 82.142.x.x.60684 > 195.16.y.y.21: S 2204292105:2204292105(0) win 16384 <mss 1460,nop,nop,sackOK>
12:42:29.396557 IP 195.16.y.y.21 > 82.142.x.x.60684: S 2131519950:2131519950(0) ack 2204292106 win 65535 <mss 1460,sackOK,eol>
12:42:29.396908 IP 82.142.x.x.60684 > 195.16.y.y.21: . ack 1 win 17520
12:42:29.401378 IP 195.16.y.y.21 > 82.142.x.x.60684: P 1:50(49) ack 1 win 65535
12:42:29.414741 IP 82.142.x.x.60684 > 195.16.y.y.21: P 1:16(15) ack 50 win 17471
12:42:29.416037 IP 195.16.y.y.21 > 82.142.x.x.60684: P 50:86(36) ack 16 win 65535
12:42:29.429060 IP 82.142.x.x.60684 > 195.16.y.y.21: P 16:31(15) ack 86 win 17435
12:42:29.430724 IP 195.16.y.y.21 > 82.142.x.x.60684: P 86:116(30) ack 31 win 65535
12:42:29.439555 IP 82.142.x.x.60684 > 195.16.y.y.21: P 31:37(6) ack 116 win 17405
12:42:29.440997 IP 195.16.y.y.21 > 82.142.x.x.60684: P 116:135(19) ack 37 win 65535
12:42:29.449294 IP 82.142.x.x.60684 > 195.16.y.y.21: P 37:42(5) ack 135 win 17386
12:42:29.450553 IP 195.16.y.y.21 > 82.142.x.x.60684: P 135:166(31) ack 42 win 65535
12:42:29.459524 IP 82.142.x.x.60684 > 195.16.y.y.21: P 42:50(8) ack 166 win 17355
12:42:29.461007 IP 195.16.y.y.21 > 82.142.x.x.60684: P 166:186(20) ack 50 win 65535
12:42:29.469417 IP 82.142.x.x.60684 > 195.16.y.y.21: P 50:58(8) ack 186 win 17335
12:42:29.470890 IP 195.16.y.y.21 > 82.142.x.x.60684: P 186:232(46) ack 58 win 65535
12:42:29.488276 IP 82.142.x.x.60684 > 195.16.y.y.21: P 58:64(6) ack 232 win 17289
12:42:29.490139 IP 195.16.y.y.21 > 82.142.x.x.60684: P 232:283(51) ack 64 win 65535
12:42:29.623513 IP 82.142.x.x.60684 > 195.16.y.y.21: . ack 283 win 17238
12:42:30.814533 IP 82.142.x.x.60684 > 195.16.y.y.21: F 64:64(0) ack 283 win 17238
12:42:30.814690 IP 195.16.y.y.21 > 82.142.x.x.60684: . ack 65 win 65535
12:42:30.814806 IP 195.16.y.y.21 > 82.142.x.x.60684: F 283:283(0) ack 65 win 65535
12:42:30.815506 IP 82.142.x.x.60684 > 195.16.y.y.21: . ack 284 win 17238x.x y.y - заменил вручную ессна перед выкладыванием. x.x - сервак с которого ломлюсь. y.y - внешний интерфейс фряхи
дамп em0 - внутреннего в локалку
12:46:08.021701 IP 192.168.e.e.58453 > 192.168.i.i.21: . ack 1 win 33304 <nop,nop,timestamp 6942235 0>
12:46:08.025429 IP 192.168.i.i.21 > 192.168.e.e.58453: P 1:50(49) ack 1 win 65535 <nop,nop,timestamp 16462629 6942234>
12:46:08.031362 IP 192.168.e.e.22 > 192.168.0.66.1456: P 892:2208(1316) ack 1 win 65535
12:46:08.037999 IP 192.168.e.e.58453 > 192.168.i.i.21: P 1:16(15) ack 50 win 33304 <nop,nop,timestamp 6942251 16462629>
12:46:08.039198 IP 192.168.i.i.21 > 192.168.e.e.58453: P 50:86(36) ack 16 win 65520 <nop,nop,timestamp 16462629 6942251>
12:46:08.052311 IP 192.168.e.e.58453 > 192.168.i.i.21: P 16:31(15) ack 86 win 33304 <nop,nop,timestamp 6942265 16462629>
12:46:08.053562 IP 192.168.i.i.21 > 192.168.e.e.58453: P 86:116(30) ack 31 win 65505 <nop,nop,timestamp 16462629 6942265>
12:46:08.062138 IP 192.168.e.e.58453 > 192.168.i.i.21: P 31:37(6) ack 116 win 33304 <nop,nop,timestamp 6942275 16462629>
12:46:08.063163 IP 192.168.i.i.21 > 192.168.e.e.58453: P 116:135(19) ack 37 win 65499 <nop,nop,timestamp 16462629 6942275>
12:46:08.071386 IP 192.168.e.e.58453 > 192.168.i.i.21: P 37:42(5) ack 135 win 33304 <nop,nop,timestamp 6942284 16462629>
12:46:08.072372 IP 192.168.i.i.21 > 192.168.e.e.58453: P 135:166(31) ack 42 win 65494 <nop,nop,timestamp 16462629 6942284>
12:46:08.080957 IP 192.168.e.e.58453 > 192.168.i.i.21: P 42:50(8) ack 166 win 33304 <nop,nop,timestamp 6942294 16462629>
12:46:08.082340 IP 192.168.i.i.21 > 192.168.e.e.58453: P 166:186(20) ack 50 win 65486 <nop,nop,timestamp 16462629 6942294>
12:46:08.091289 IP 192.168.e.e.58453 > 192.168.i.i.21: P 50:58(8) ack 186 win 33304 <nop,nop,timestamp 6942304 16462629>
12:46:08.092271 IP 192.168.i.i.21 > 192.168.e.e.58453: P 186:232(46) ack 58 win 65478 <nop,nop,timestamp 16462629 6942304>
12:46:08.109924 IP 192.168.e.e.58453 > 192.168.i.i.21: P 58:86(28) ack 232 win 33304 <nop,nop,timestamp 6942323 16462629>
12:46:08.110912 IP 192.168.i.i.21 > 192.168.e.e.58453: P 232:262(30) ack 86 win 65450 <nop,nop,timestamp 16462630 6942323>
12:46:08.119494 IP 192.168.e.e.58453 > 192.168.i.i.21: P 86:94(8) ack 262 win 33304 <nop,nop,timestamp 6942332 16462630>
12:46:08.120627 IP 192.168.i.i.21 > 192.168.e.e.58453: P 262:282(20) ack 94 win 65442 <nop,nop,timestamp 16462630 6942332>
12:46:08.128836 IP 192.168.e.e.58453 > 192.168.i.i.21: P 94:100(6) ack 282 win 33304 <nop,nop,timestamp 6942342 16462630>
12:46:08.131715 IP 192.168.i.i.21 > 192.168.e.e.58453: P 282:335(53) ack 100 win 65436 <nop,nop,timestamp 16462630 6942342>e.e - локальный интерфейс фряхи, i.i - локальный интерфейс фтп сервера.
причем эта картина как при пассивном так и при активном коннекте.
смотрю по дампу только 21 порт активность вижу... а проброс 20 как будто и не существует.
ну или же пассивных портов...что за нафиг...
>А правила фаервола такие же и оставил?
>Если да, то добавь
>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21
>/sbin/ipfw -q add 416 allow tcp from 192.168.1.х 21 to any
>/sbin/ipfw -q add 417 allow tcp from any to 192.168.1.х 20
>/sbin/ipfw -q add 418 allow tcp from 192.168.1.х 20 to any
>ЗЫ. setup пишешь, а разрешить established ?да я уже от отчаяния попробовал даже
/sbin/ipfw -q add 100 divert natd all from any to any via fxp0
/sbin/ipfw -q add 110 allow all from any to any via lo0
/sbin/ipfw -q add 500 allow all from any to anyи все равно как об стену...
при этом успел попробовать на самом фтп сервере включить пассивный режим, ограничить порты пассивного режима для данных от 35000 до 35004, пробросить их как через нат так и через rinetd... хоть бы что... natd - полное молчание, rinetd - 21 порт замечательно обмен командами а передача данных - ступор.поправка. добился другого ответа от сервера -
проходит команда PASV
ответ
451 - Passive mode denied by firewallи это при том что файрвол на фре - всё разрешено...
>>А правила фаервола такие же и оставил?
>>Если да, то добавь
>>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21
>>/sbin/ipfw -q add 416 allow tcp from 192.168.1.х 21 to any
>>/sbin/ipfw -q add 417 allow tcp from any to 192.168.1.х 20
>>/sbin/ipfw -q add 418 allow tcp from 192.168.1.х 20 to any
>>ЗЫ. setup пишешь, а разрешить established ?
>
>да я уже от отчаяния попробовал даже
>/sbin/ipfw -q add 100 divert natd all from any to any via
>fxp0
>/sbin/ipfw -q add 110 allow all from any to any via lo0
>
>/sbin/ipfw -q add 500 allow all from any to any
>
>и все равно как об стену...
>при этом успел попробовать на самом фтп сервере включить пассивный режим, ограничить
>порты пассивного режима для данных от 35000 до 35004, пробросить их
>как через нат так и через rinetd... хоть бы что... natd
>- полное молчание, rinetd - 21 порт замечательно обмен командами а
>передача данных - ступор.
>
>поправка. добился другого ответа от сервера -
>проходит команда PASV
>ответ
>451 - Passive mode denied by firewall
>
>и это при том что файрвол на фре - всё разрешено.../usr/local/etc/rinetd.conf
#out_ip port local_ip port
#Example
82.207.110.50 21 192.168.1.20 21/etc/rc.conf
#Rinetd
rinetd_enable="YES"
rinetd_flags="-c /usr/local/etc/rinetd.conf"/etc/rc.firewall
${fwcmd} add allow tcp from any 21 to any
${fwcmd} add allow tcp from any to any 21
>/usr/local/etc/rinetd.conf
>#out_ip port local_ip port
>#Example
>82.207.110.50 21 192.168.1.20 21
>
>/etc/rc.conf
>#Rinetd
>rinetd_enable="YES"
>rinetd_flags="-c /usr/local/etc/rinetd.conf"
>
>/etc/rc.firewall
>
>${fwcmd} add allow tcp from any 21 to any
>${fwcmd} add allow tcp from any to any 21вообще то этот вариант не работает. я уже писл раз 5 %)))
кроме проброса 21 порта надо еще и 20 в активном режиме и группу портов в пассивном пробрасывать.опережая поств пишу: прописал проброс и 20 порта и серию портов которые обслуживает фтп сервер в пассивном режиме.
в файере вообще полный доступ уже.
/sbin/ipfw -q add 500 allow all from any to any
подозреваю что эта строка вообще абсолютный доступ дает отовсюду и везде %)да даже попробовал добавить эти правила для очистки совести...
вот как ща полная таблица файера выглядит (хотя это не файер. тут всё разрешено :) ):00100 divert 8668 ip from any to any via fxp0
00110 allow ip from any to any via lo0
00410 allow tcp from any 21 to any
00415 allow tcp from any to any dst-port 21
00500 allow ip from any to any
65535 deny ip from any to anyвсе равно ноль на массу. обмен командами есть - обмена данными - нет.
Люди, дайте пошаговую инструкцию уж для ламера. причем желательно проверенную на личном опыте.
ну не врубаюсь почему у меня не хочет работать.
>Люди, дайте пошаговую инструкцию уж для ламера. причем желательно проверенную на личном
>опыте.
>ну не врубаюсь почему у меня не хочет работать.Одно время тому назад парил себе мозги по этому же поводу. Но, видать, туп и криворук - нифига не вышло. Поэтому формально по сабжу ничего не скажу.
Однако так как проблему решать было таки надо, обошел ее с другого боку - поставил на гейт фтп-прокси (delegated). Пошло с полпинка. Хотя есть там нюансы и не для всех случаев такое, наверное, подойдет (у меня извне ломились не юзеры, а некая прога\скрипт, которые потом по фтп-протоколу сливали\забирали данные). Но как один из путей решения, наверное, можно рассмотреть и такое.
>Одно время тому назад парил себе мозги по этому же поводу. Но,
>видать, туп и криворук - нифига не вышло. Поэтому формально по
>сабжу ничего не скажу.
>Однако так как проблему решать было таки надо, обошел ее с другого
>боку - поставил на гейт фтп-прокси (delegated). Пошло с полпинка. Хотя
>есть там нюансы и не для всех случаев такое, наверное, подойдет
>(у меня извне ломились не юзеры, а некая прога\скрипт, которые потом
>по фтп-протоколу сливали\забирали данные). Но как один из путей решения, наверное,
>можно рассмотреть и такое.
делегейта из портов вырезали...
вот по этой причине: http://security.freebsd.org/advisories/FreeBSD-SA-00:04.dele...
>Люди, дайте пошаговую инструкцию уж для ламера. причем желательно проверенную на личном
>опыте.
>ну не врубаюсь почему у меня не хочет работать.То что я више писал работает. уже не первый год. У самого фтп-сервер внутри сети (за FreeBSD-сервером), переброс через natd. Ftp- proftpd.
Мысли:
1. Попробуй перебросить при помощи xinetd
2. ФТП 100-пудово работает? На ФТП-сервере telnet localhost 21 нормально отрабатывает?
>То что я више писал работает. уже не первый год. У самого
>фтп-сервер внутри сети (за FreeBSD-сервером), переброс через natd. Ftp- proftpd.
>Мысли:
>1. Попробуй перебросить при помощи xinetd
>2. ФТП 100-пудово работает? На ФТП-сервере telnet localhost 21 нормально отрабатывает?Вот почему то не получилось... хотя прописал вродь все как по инструкции %)
У меня внутренний сервак на виндозине Serv-U. Может быть сс ним какой то косячок...1. Портирую ща... посмотрю что и как.
2. Фтп на внутреннем серваке работает. но не на локалхост отзывается а на 192.168.0.Х.
Я изнутри локалки с другой машины клиентом нормально подключаюсь...
>1. Попробуй перебросить при помощи xinetd
попробовал...
вот конфигservice redirect-port21
{
disable = no
type = UNLISTED
socket_type = stream
protocol = tcp
wait = no
port = 21
redirect = 192.168.0.106 21
user = nobody
}service redirect-port20
{
disable = no
type = UNLISTED
socket_type = stream
protocol = tcp
wait = no
port = 20
redirect = 192.168.0.106 20
user = nobody
}
тот же результат. по 21 коннект есть, а данными обмениваться не хочет...
может все таки не там копаю и беза с самим фтп сервером? %)
>>1. Попробуй перебросить при помощи xinetd
>
>
>попробовал...
>вот конфиг
>
>service redirect-port21
>{
>disable = no
>type
> = UNLISTED
>socket_type
> = stream
>protocol
> = tcp
>wait
> = no
>port
> = 21
>redirect
> = 192.168.0.106 21
>user
> = nobody
>}
>
>service redirect-port20
>{
>disable = no
>type
> = UNLISTED
>socket_type
> = stream
>protocol
> = tcp
>wait
> = no
>port
> = 20
>redirect
> = 192.168.0.106 20
>user
> = nobody
>}
>
>
>тот же результат. по 21 коннект есть, а данными обмениваться не хочет...
>
>может все таки не там копаю и беза с самим фтп сервером?
>%)А фаерволов на Вин никаких не стоит случайно?
PS. Конфиг вроде нормальный для xinetd..
>А фаерволов на Вин никаких не стоит случайно?
>PS. Конфиг вроде нормальный для xinetd..Сижу проверяю вот... В винде самой софта файерного нету, встроенный на интерфейсе отрублен... По идее ничего не должно мешать.
Что поражает - в различных реализациях проброса один и тот же результат с одинаковой ошибкой... Это настораживает.
Так... Кажись я понял. %)
В настройках винды где фтп шлюзом по умолчанию являлся другой шлюзовой сервак. У нас их несколько... Вот туда он и отсылал данные и ессна не получал ответа.Всё работает. При чем решение на xinetd и на rinetd работают.
>>тот же результат. по 21 коннект есть, а данными обмениваться не хочет...
>>
>>может все таки не там копаю и беза с самим фтп сервером?
>>%)
>
>А фаерволов на Вин никаких не стоит случайно?
>PS. Конфиг вроде нормальный для xinetd..
В общем поторопился обрадоваться... %(
Не работает проброс 20 порта все равно.При коннекте на фтп с машины в этой же локальной сети через интернет - все работает. но работает через хрен знает как. 21 порт идет через шлюз а 20 порт - прямое соединение клиентской машины в локальной сети и сервера фтп в локальной же сети.
При коннекте извне - 21 порт отзыввается и соединение висит а 20 порт отрабатывать не хочет...
Блин. не понимаю почему не пашет.
На фтп сервере шлюзом по умолчанию стоит как раз фяха на которой1 организован проброс...
Год мессаги я смотрю бородатый, но всё же выскажу свои мысли... так сказать ИМХО, т.к. первый раз тоже долго мучался.И так есть два пути проброса ftp "внутрь"
ПЕРВЫЙ - правильный используя ftp-прокси, как это описано например в:
http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#p...и вообще там популярно описано как фтп работает, (не пойму только кто такой изврат вообще придумал:) )
ВТОРОЙ, так сказать - "в лоб"
для proftpd сервераMasqueradeAddress my.domain.com
PassivePorts 60000 60010на роутере/нате пробрасываем порты 21, 60000-60010
уж не помню какой режим, активный или пассивный на клиенте надо использовать, работает в даннонм примере для 10 одновременных соединений
Возможно я что-то упустил, но основная суть описана.
Угу. я уже проблему порешал давно. с того времени у меня этих серверов с пробросами развелось уйма %)
но за инфу все равно спасибо. кому нить еще будет явно полезна.>уж не помню какой режим, активный или пассивный на клиенте надо использовать,
>работает в даннонм примере для 10 одновременных соединений
>Возможно я что-то упустил, но основная суть описана.
>Угу. я уже проблему порешал давно. с того времени у меня этих
>серверов с пробросами развелось уйма %)
>но за инфу все равно спасибо. кому нить еще будет явно полезна.
>
>
>>уж не помню какой режим, активный или пассивный на клиенте надо использовать,
>>работает в даннонм примере для 10 одновременных соединений
>>Возможно я что-то упустил, но основная суть описана.Можете поделиться конфигом? У меня на сервере с НАТ стоит фря, и надо пробросить фтп на сервер, который не в той же сети что и НАТ, возможно ли такое? С НАТа на ФТП-сервер
телнет проходит нормально.
/usr/bin/telnet 10.7.1.224 21
Trying 10.7.1.224...
Connected to 10.7.1.224.
Escape character is '^]'.
220 ProFTPD 1.3.2 Server
На ФТП-сервере
MasqueradeAddress x.y.v.z #внешний IP НАТа
PassivePorts 60000 65535
Схема сети такая:НАТ ----- роутер --------- FTP-сервер
|
|
|
локалка