Всем доброго времени суток друзья!
Помогите пожалуйста решить данную проблемку:
Руководство поставило задачу срочно пробросить 21 порт для доступности фтп сервака в интернете, а с циско я знаком пока еще совсем немного, вот что получилось:
Cisco ASA 5512-X

GBUTKASA(config)# ip nat Internet source static tcp 10.53.41.29 21 213.171.32.78 21 extendable

ip nat Internet source static tcp 10.53.41.29 21 213.171.32.78 21 extendable
   ^
ERROR: % Invalid input detected at '^' marker.
GBUTKASA(config)#

А вот snow nat собственно говоря:

GBUTKASA(config)# show nat
Manual NAT Policies (Section 1)
1 (any) to (Internet) source static any any   destination static vpn-pool vpn-pool
    translate_hits = 1949, untranslate_hits = 0
2 (Servers) to (Internet) source static RDP interface   service 3389 3389
    translate_hits = 0, untranslate_hits = 18
3 (Internet) to (Servers) source static RDP interface   service 3389 3389
    translate_hits = 0, untranslate_hits = 0
4 (Servers) to (Internet) source static SHARE interface   service 139 139
    translate_hits = 0, untranslate_hits = 0
5 (Servers) to (Internet) source static SHARE interface   service 445 445
    translate_hits = 0, untranslate_hits = 0
6 (Servers) to (Internet) source static SHARE interface   service 137 137
    translate_hits = 0, untranslate_hits = 0
7 (Servers) to (Internet) source static 10.53.41.21 interface   service 81 81
    translate_hits = 0, untranslate_hits = 0

Auto NAT Policies (Section 2)
1 (Servers) to (Internet) source static mail-25 interface   service tcp smtp smtp
    translate_hits = 1, untranslate_hits = 11
2 (Servers) to (Internet) source static mail-443 interface   service tcp https https
    translate_hits = 3, untranslate_hits = 680
3 (Servers) to (Internet) source static mail-445 interface   service tcp 445 445
    translate_hits = 0, untranslate_hits = 0
4 (Servers) to (Internet) source static site-4043 interface   service tcp 4043 4043
    translate_hits = 0, untranslate_hits = 0
5 (Servers) to (Internet) source static site-80 interface   service tcp www www
    translate_hits = 1, untranslate_hits = 65
6 (Servers) to (Internet) source dynamic Servers interface
    translate_hits = 216311, untranslate_hits = 6
7 (Users) to (Internet) source dynamic Users interface
    translate_hits = 3634839, untranslate_hits = 2271

• Проброс порта 21 для ftp,crash, 06:47 , 11-Июн-14
  • Проброс порта 21 для ftp,gbusc44, 12:25 , 11-Июн-14
    • Проброс порта 21 для ftp,crash, 12:50 , 11-Июн-14
      • Проброс порта 21 для ftp,gbusc44, 13:00 , 11-Июн-14
        • Проброс порта 21 для ftp,crash, 13:03 , 11-Июн-14
          • Проброс порта 21 для ftp,gbusc44, 13:11 , 11-Июн-14
            • Проброс порта 21 для ftp,crash, 13:19 , 11-Июн-14
              • Проброс порта 21 для ftp,gbusc44, 13:24 , 11-Июн-14
              • Проброс порта 21 для ftp,gbusc44, 13:35 , 11-Июн-14
                • Проброс порта 21 для ftp,crash, 15:17 , 11-Июн-14
                  • Проброс порта 21 для ftp,gbusc44, 16:07 , 11-Июн-14
                    • Проброс порта 21 для ftp,crash, 16:42 , 11-Июн-14
                      • Проброс порта 21 для ftp,gbusc44, 10:23 , 16-Июн-14
                        • Проброс порта 21 для ftp,crash, 06:19 , 17-Июн-14
                          • Проброс порта 21 для ftp,бен Бецалель, 16:00 , 17-Июн-14

> Всем доброго времени суток друзья!
> Помогите пожалуйста решить данную проблемку:
> Руководство поставило задачу срочно пробросить 21 порт для доступности фтп сервака в
> интернете, а с циско я знаком пока еще совсем немного, вот
> что получилось:
> Cisco ASA 5512-X
> GBUTKASA(config)# ip nat Internet source static tcp 10.53.41.29 21 213.171.32.78 21 extendable
> ip nat Internet source static tcp 10.53.41.29 21 213.171.32.78 21 extendable

наверное все потому, что на ASA прописывается NAT не так как на маршрутизаторах.
Например так
object network obj-ftp
host 10.53.41.29
nat (Servers,Internet) static 213.171.32.78 service tcp 21 21

>[оверквотинг удален]
>> что получилось:
>> Cisco ASA 5512-X
>> GBUTKASA(config)# ip nat Internet source static tcp 10.53.41.29 21 213.171.32.78 21 extendable
>> ip nat Internet source static tcp 10.53.41.29 21 213.171.32.78 21 extendable
> наверное все потому, что на ASA прописывается NAT не так как на
> маршрутизаторах.
> Например так
> object network obj-ftp
>  host 10.53.41.29
>  nat (Servers,Internet) static 213.171.32.78 service tcp 21 21

Исправился но вот что:

object network obj-ftp

GBUTKASA# object network obj-ftp
          ^
ERROR: % Invalid input detected at '^' marker.
GBUTKASA#

GBUTKASA# host 10.53.41.29
           ^
ERROR: % Invalid input detected at '^' marker.
GBUTKASA#

GBUTKASA# nat (Servers,Internet) static 213.171.32.78 service tcp 21 21
           ^
ERROR: % Invalid input detected at '^' marker.
GBUTKASA#

И беда, использую putty 0.63, подключаюсь так:
login
password
enable
password

я бы на вашем месте для начала вошел в режим конфигурации

>  я бы на вашем месте для начала вошел в режим конфигурации

GBUTKASA(config-network-object)# nat (Servers,Internet) static 213.171.32.78 service tcp 21 21
ERROR: Address 213.171.32.78 overlaps with Internet interface address.
ERROR: NAT Policy is not downloaded

GBUTKASA(config-network-object)#

извини за глупые вопросы, но в циске совсем не силен, учусь только.

>>  я бы на вашем месте для начала вошел в режим конфигурации
> GBUTKASA(config-network-object)# nat (Servers,Internet) static 213.171.32.78 service
> tcp 21 21

nat (Servers,Internet) static interface service tcp 21 21

>>>  я бы на вашем месте для начала вошел в режим конфигурации
>> GBUTKASA(config-network-object)# nat (Servers,Internet) static 213.171.32.78 service
>> tcp 21 21
> nat (Servers,Internet) static interface service tcp 21 21

Спасибо!

GBUTKASA(config-network-object)# nat (Servers,Internet) static interface service tcp 21 21
GBUTKASA(config-network-object)#

А дальше надо как то применить настройки или циску ребутнуть?

> А дальше надо как то применить настройки или циску ребутнуть?

настройки применяются сразу после ввода команд. Вам надо только сохранить конфиг, чтобы после перезагрузки все осталось, командой wr mem

>> А дальше надо как то применить настройки или циску ребутнуть?
> настройки применяются сразу после ввода команд. Вам надо только сохранить конфиг, чтобы
> после перезагрузки все осталось, командой wr mem

Огромное спасибо! Все равно не видно ftp сервера снаружи по ftp://213.171.32.78:21
Видимо на самом сервере ковырять теперь надо что то!
Очень помогли!

>> А дальше надо как то применить настройки или циску ребутнуть?
> настройки применяются сразу после ввода команд. Вам надо только сохранить конфиг, чтобы
> после перезагрузки все осталось, командой wr mem

а акцесс правила нужно писать какие либо для проброса порта?

>>> А дальше надо как то применить настройки или циску ребутнуть?
>> настройки применяются сразу после ввода команд. Вам надо только сохранить конфиг, чтобы
>> после перезагрузки все осталось, командой wr mem
> а акцесс правила нужно писать какие либо для проброса порта?

для проброса не нужна, а что бы разрешить доступ нужно

>>>> А дальше надо как то применить настройки или циску ребутнуть?
>>> настройки применяются сразу после ввода команд. Вам надо только сохранить конфиг, чтобы
>>> после перезагрузки все осталось, командой wr mem
>> а акцесс правила нужно писать какие либо для проброса порта?
> для проброса не нужна, а что бы разрешить доступ нужно

Зная как минимум уже мой конфиг не могли бы вы написать команду или где посмотреть как она пишется?

>>>>> А дальше надо как то применить настройки или циску ребутнуть?
>>>> настройки применяются сразу после ввода команд. Вам надо только сохранить конфиг, чтобы
>>>> после перезагрузки все осталось, командой wr mem
>>> а акцесс правила нужно писать какие либо для проброса порта?
>> для проброса не нужна, а что бы разрешить доступ нужно
> Зная как минимум уже мой конфиг не могли бы вы написать команду
> или где посмотреть как она пишется?

я не знаю какие у вас там правила и название листов есть. Версию софта тоже.
Но, если версия 8.4 и выше, то примерно так
access-list имя_листа exten permit tcp any host 10.53.41.29 - будет разрешен весь трафик из инета на хост 10.53.41.29, естественно который пройдет через NAT. имя_листа я не знаю, поэтому не могу написать название.

А доступ есть и даже файлы можно записывать

C:\Users\crash>ftp 213.171.32.78
Связь с 213.171.32.78.
220-Welcome to Cerberus FTP Server
220 Created by Cerberus, LLC
Пользователь (213.171.32.78:(none)): anonymous
331 User anonymous, password please
Пароль:
230 Password Ok, User logged in
ftp> dir
200 Port command received
150 Opening data connection
drw-rw-rw-   1 user     group           0 May 30 07:37 .
drw-rw-rw-   1 user     group           0 May 30 07:37 ..
drw-rw-rw-   1 user     group           0 May 30 07:37 GBUSC44
226 Transfer complete
ftp: 181 байт получено за 0,00 (сек) со скоростью 181000,00 (КБ/сек).
ftp>

>[оверквотинг удален]
> 07:37 .
> drw-rw-rw-   1 user     group  
>         0 May 30
> 07:37 ..
> drw-rw-rw-   1 user     group  
>         0 May 30
> 07:37 GBUSC44
> 226 Transfer complete
> ftp: 181 байт получено за 0,00 (сек) со скоростью 181000,00 (КБ/сек).
> ftp>

Хм, только вот через веб доступа почему то нет по 21 порту... Как я понимаю это уже не в правилах дело и не в настройках маршрутизации...

>[оверквотинг удален]
>> 07:37 ..
>> drw-rw-rw-   1 user     group
>>         0 May 30
>> 07:37 GBUSC44
>> 226 Transfer complete
>> ftp: 181 байт получено за 0,00 (сек) со скоростью 181000,00 (КБ/сек).
>> ftp>
> Хм, только вот через веб доступа почему то нет по 21 порту...
> Как я понимаю это уже не в правилах дело и не
> в настройках маршрутизации...

как вариант смотреть логи.

а еще советую почитать как работает активный и пассивный режимы ftp
до понимания того, что 21 порт пробросить мало

ps: у меня на isr работает, в асах не разбираюсь