Добрый день.
Не давно заинтересовала Freebsd решил поставить на работе ftp и сделать в последствии его внешнем.
Вообщем так :
Поставил ftpd, настроил его вход по авторизации.
С локального компа захожу и через ie и через ftp клиент smartftp все отлично.
Потом поставил samba шара то же в порядке.
На фаерволе (isa2006) добавил Ip своего нового сервака в исключения ( т.е. у него все порты открыты-правила никак не затрагивают его).
Создал маршрут name-allow-ftpserver-external-192.168.x.x ( в протоколе ftpserver открыт 21 tcp порт на inbound)
После все манипуляций ломлюсь уже пом внешнему адресу через ftp клиент smartftp все отлично.
А через ie или фаерфокс после вбивания в адресную строчку идет коннект выскакивает авторизация я указываю ее и после этого наступает раздумье минуты на 2 и выскакивает ошибка 425 can't open data connection.
Единственное что приходит в голову ( которая по free ничего не знает) что надо попробывать открыть порт 20. Как эт можно сделать или подскажите плз какие нибудь еще варианты!
почитайте про активный и пассивный режим ftp, и про 20 порт.
> Единственное что приходит в голову ( которая по free ничего не знает)
> что надо попробывать открыть порт 20. Как эт можно сделать или
> подскажите плз какие нибудь еще варианты!а вы его закрывали? Может на isa надо открыть?
> а вы его закрывали? Может на isa надо открыть?Да он вообще странный, дописал про 20 порт в вопросе уже после того как я дал ему ответ.
>> а вы его закрывали? Может на isa надо открыть?
> Да он вообще странный, дописал про 20 порт в вопросе уже после
> того как я дал ему ответ.1) я про 20 порт ничего не дописывал. вопрос был сразу поставлен как есть, хотел до редактировать по поводу что я раскоментил в inetd.conf ftp но потом передумал это дописывать.
2)на isa сам сервер ftp находится в исключении. У него все порты открыты - только 21 порт стоит в протоколе ftpserver на isa при указании маршрута.я открывал 20 порт на outbound но не помогло. Результат прежний.
>>> а вы его закрывали? Может на isa надо открыть?
>> Да он вообще странный, дописал про 20 порт в вопросе уже после
>> того как я дал ему ответ.
> 1) я про 20 порт ничего не дописывал. вопрос был сразу поставлен
> как есть, хотел до редактировать по поводу что я раскоментил в
> inetd.conf ftp но потом передумал это дописывать.
> 2)на isa сам сервер ftp находится в исключении. У него все порты
> открыты - только 21 порт стоит в протоколе ftpserver на isa
> при указании маршрута.я открывал 20 порт на outbound но не помогло.
> Результат прежний.Получилось зайти на внешний когда на isa открыл порты с 49152-65534. =(
с firefox ломлюсь гуд а с ie все равно не пускает.(Internet Explorer не может отобразить эту веб-страницу)
>[оверквотинг удален]
>> 1) я про 20 порт ничего не дописывал. вопрос был сразу поставлен
>> как есть, хотел до редактировать по поводу что я раскоментил в
>> inetd.conf ftp но потом передумал это дописывать.
>> 2)на isa сам сервер ftp находится в исключении. У него все порты
>> открыты - только 21 порт стоит в протоколе ftpserver на isa
>> при указании маршрута.я открывал 20 порт на outbound но не помогло.
>> Результат прежний.
> Получилось зайти на внешний когда на isa открыл порты с 49152-65534. =(
> с firefox ломлюсь гуд а с ie все равно не пускает.(Internet Explorer
> не может отобразить эту веб-страницу)поставьте proftpd и укажите диапозон портов для режима passive mode
например:
### Passive FTP
PassivePorts 51000 51999
>[оверквотинг удален]
>>> Результат прежний.
>> Получилось зайти на внешний когда на isa открыл порты с 49152-65534. =(
>> с firefox ломлюсь гуд а с ie все равно не пускает.(Internet Explorer
>> не может отобразить эту веб-страницу)
> поставьте proftpd и укажите диапозон портов для режима passive mode
> например:
>
> ### Passive FTP
> PassivePorts 51000 51999
>ага
> поставьте proftpd и укажите диапозон портов для режима passive mode
> например:
>
> ### Passive FTP
> PassivePorts 51000 51999
>во фревом фтпд порты для пассивного режима можно так же установить, не устанавливая всякое лишнее)
>> поставьте proftpd и укажите диапозон портов для режима passive mode
>> например:
>>
>> ### Passive FTP
>> PassivePorts 51000 51999
>>
> во фревом фтпд порты для пассивного режима можно так же установить, не
> устанавливая всякое лишнее)Мне проще установить комбайн proftpd, слизать проверенные настройки и не юзать древний ftpd, который еще стартует через inetd (еще одна большая уязвимость)
>>> поставьте proftpd и укажите диапозон портов для режима passive mode
>>> например:
>>>
>>> ### Passive FTP
>>> PassivePorts 51000 51999
>>>
>> во фревом фтпд порты для пассивного режима можно так же установить, не
>> устанавливая всякое лишнее)
> Мне проще установить комбайн proftpd, слизать проверенные настройки и не юзать древний
> ftpd, который еще стартует через inetd (еще одна большая уязвимость)Подскажите почему трабла с ie а с фаерфоксом все оке ?
по поводу ftpd и inetd - то у меня Inetd не вкл и все работает =)
>>>> поставьте proftpd и укажите диапозон портов для режима passive mode
>>>> например:
>>>>
>>>> ### Passive FTP
>>>> PassivePorts 51000 51999
>>>>
>>> во фревом фтпд порты для пассивного режима можно так же установить, не
>>> устанавливая всякое лишнее)
>> Мне проще установить комбайн proftpd, слизать проверенные настройки и не юзать древний
>> ftpd, который еще стартует через inetd (еще одна большая уязвимость))))) посмешили.
> Подскажите почему трабла с ie а с фаерфоксом все оке ?
> по поводу ftpd и inetd - то у меня Inetd не
> вкл и все работает =)по моему ИЕ плевать хотел на настройки фтпд, посмотрите в логе фаирвола куда ломится ИЕ и куда ломится фаирфокс
попробуйте:
While Internet Explorer is certainly not the best FTP client, it can still come handy when required. Internet Explorer by default is configured to be an FTP client in Active or Port mode. However, there are instances like a client or server is behind the firewall or when you need to connect in Passive mode.
Here we can see how to change Internet Explorer to connect in Passive mode.
1. Open Internet Explorer, click Tools – Internet Options and select Advanced tab.
2. Under Browsing, clear the check box “Enable folder view for FTP sites”. This is required as keep this box checked will overide the passive option.
3. select the checkbox for “Use Passive FTP (for firewall and DSL modem compatibility)”
4. Click Apply and OK. This should configure Internet Explorer in Passive mode FTP client.
This should do…
>[оверквотинг удален]
> 1. Open Internet Explorer, click Tools – Internet Options and select Advanced
> tab.
> 2. Under Browsing, clear the check box “Enable folder view for FTP
> sites”. This is required as keep this box checked will overide
> the passive option.
> 3. select the checkbox for “Use Passive FTP (for firewall and DSL
> modem compatibility)”
> 4. Click Apply and OK. This should configure Internet Explorer in Passive
> mode FTP client.
> This should do…=( Все то ж самое! я это пробывал еще когда первый раз не смог ломануться на фтп.
По поводу PassivePort я прописываю эт команду а мне пишет что команда не найдена да и думаю что врятли эта проблема с серваком. Если фаерфокс заходит но эт тупизим ie какой то получается.
>> поставьте proftpd и укажите диапозон портов для режима passive mode
>> например:
>>
>> ### Passive FTP
>> PassivePorts 51000 51999
>>
> во фревом фтпд порты для пассивного режима можно так же установить, не
> устанавливая всякое лишнее)Подскажите плх где прописать PassiveFTP в штатном ftp ? не могу найти ftpd.conf или в каком файле это прописывать.
# sysctl -a | grep portrange.hi
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535
> # sysctl -a | grep portrange.hi
> net.inet.ip.portrange.hifirst: 49152
> net.inet.ip.portrange.hilast: 65535Cпасибо за подсказку.
У меня то ж самое показал сервак. По всей видимости с ie ломануться на фтпд не получится. =(
>[оверквотинг удален]
> Создал маршрут name-allow-ftpserver-external-192.168.x.x ( в протоколе ftpserver открыт
> 21 tcp порт на inbound)
> После все манипуляций ломлюсь уже пом внешнему адресу через ftp клиент smartftp
> все отлично.
> А через ie или фаерфокс после вбивания в адресную строчку идет коннект
> выскакивает авторизация я указываю ее и после этого наступает раздумье минуты
> на 2 и выскакивает ошибка 425 can't open data connection.
> Единственное что приходит в голову ( которая по free ничего не знает)
> что надо попробывать открыть порт 20. Как эт можно сделать или
> подскажите плз какие нибудь еще варианты!- про активный и пассивный режим фтп уже сказали
- для того чтобы сервисы вроде ФТП могли работать в активном режиме (то есть, когда установлено соединение на 21-й порт например, чтобы оно было привязывалось соединению на порт 20) надо подгружать модули сетевого фильтра, который выполняет данный функционал на системе (ip_conntrack_ftp например).
>[оверквотинг удален]
>> выскакивает авторизация я указываю ее и после этого наступает раздумье минуты
>> на 2 и выскакивает ошибка 425 can't open data connection.
>> Единственное что приходит в голову ( которая по free ничего не знает)
>> что надо попробывать открыть порт 20. Как эт можно сделать или
>> подскажите плз какие нибудь еще варианты!
> - про активный и пассивный режим фтп уже сказали
> - для того чтобы сервисы вроде ФТП могли работать в активном режиме
> (то есть, когда установлено соединение на 21-й порт например, чтобы оно
> было привязывалось соединению на порт 20) надо подгружать модули сетевого фильтра,
> который выполняет данный функционал на системе (ip_conntrack_ftp например).Можно поподробнее про ip_conntrack_ftp - гуглил но что то хорошего ничего не смог прочитать.
Посмотрел ЛОГ на иса и выяснилось что если через ie ломиться то все начинает топать по 2892 порту и т.д.
Как с этим бороться ? мне что теперь все порты на фаерволе открывать ? :)
и почему ie ломиться по такому порту если таких нету в описание ftp как динамических ?
> Посмотрел ЛОГ на иса и выяснилось что если через ie ломиться то
> все начинает топать по 2892 порту и т.д.
> Как с этим бороться ? мне что теперь все порты на фаерволе
> открывать ? :)
> и почему ie ломиться по такому порту если таких нету в описание
> ftp как динамических ?спроси об этом микрософт.
для них никогда законы были не писаны)
Вообщем плюнул я на ftpd. и поставил proftpd в конфиге вписал passiveport 49152-65534 все равно результат тот же. С лисы захожу а через ie никак не хочет. При чем на ie всегда запрашивает авторизацию. Смотрел в логах исы когда с ie конекчусь все вроде тип топ - порты гут и т.д но все равно не хочет.
Прочитал что можно папробывать сдедать masqueradeaddress и мой внешний ip с которого ломлюсь на фтп. Результат прежний =(
> Вообщем плюнул я на ftpd. и поставил proftpd в конфиге вписал passiveport
> 49152-65534 все равно результат тот же. С лисы захожу а через
> ie никак не хочет. При чем на ie всегда запрашивает авторизацию.
> Смотрел в логах исы когда с ie конекчусь все вроде тип
> топ - порты гут и т.д но все равно не хочет.
> Прочитал что можно папробывать сдедать masqueradeaddress и мой внешний ip с которого
> ломлюсь на фтп. Результат прежний =(посмотри вот: http://www.opennet.me/tips/info/721.shtml
в особенности на параметр punch_fw в natdну и вот ещё сцылко: http://forum.lissyara.su/viewtopic.php?f=4&t=13099