The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Еще раз про проброс внутреннего FTP сервера наружу"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 08-Ноя-06, 16:25 
До сих пор не получилось ничего сделать. я просто уже не знаю где копать.

Через rinetd пробросом 20 и 21 порта не помогло.
Настройкой через natd из топика
http://www.opennet.me/openforum/vsluhforumID1/66731.html не помогает тоже...

Как делаю:

сервер с freebsd 6.1 смотрит наружу интерфейсом 195.16.х.х
внутри локалки есть FTP-сервер с интерфейсом fxp0 192.168.1.х
сервер работает в активном режиме (дабы ограничиться 20 и 21 портом)

опции ядра:
options         IPDIVERT                
options         IPFIREWALL              
options         IPFIREWALL_VERBOSE      
options         IPFIREWALL_FORWARD      
options         IPFIREWALL_FORWARD_EXTENDED


rc.conf:
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"

в natd.conf:
same_ports      yes
use_sockets     yes
redirect_port  tcp      192.168.1.х:21 195.16.х.х:21

в файрволе (даже упростил сейчас его, покомментив все лишнее что может мешать):
/sbin/ipfw -q add 299 divert natd all from any to any via fxp0
/sbin/ipfw -q add 300 allow all from any to any via lo0
/sbin/ipfw -q add 400 deny log icmp from any to any in icmptype 5,9,13,14,15,16,17,18
/sbin/ipfw -q add 410 allow icmp from any to any
/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21 setup
/sbin/ipfw -q add 416 allow tcp from me 20 to any setup
/sbin/ipfw -q add 442 allow all from me to any out via fxp0
/sbin/ipfw -q add 443 allow all from me to any out via em0


и не пашет. тоесть СОВСЕМ.
на 21 порту fxp0 не отвечает никто вообще.

где у меня грабли то?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от GloryS (??) on 08-Ноя-06, 18:08 
>До сих пор не получилось ничего сделать. я просто уже не знаю
>где копать.
>
>Через rinetd пробросом 20 и 21 порта не помогло.
>Настройкой через natd из топика
>http://www.opennet.me/openforum/vsluhforumID1/66731.html не помогает тоже...
>
>Как делаю:
>
>сервер с freebsd 6.1 смотрит наружу интерфейсом 195.16.х.х
>внутри локалки есть FTP-сервер с интерфейсом fxp0 192.168.1.х
>сервер работает в активном режиме (дабы ограничиться 20 и 21 портом)
>
>опции ядра:
>options         IPDIVERT
>options         IPFIREWALL
>options         IPFIREWALL_VERBOSE
>options         IPFIREWALL_FORWARD
>options         IPFIREWALL_FORWARD_EXTENDED
>
>
>rc.conf:
>natd_interface="fxp0"
>natd_flags="-f /etc/natd.conf"
>
>в natd.conf:
>same_ports      yes
>use_sockets     yes
>redirect_port  tcp      192.168.1.х:21 195.16.х.х:21
>
>в файрволе (даже упростил сейчас его, покомментив все лишнее что может мешать):
>
>/sbin/ipfw -q add 299 divert natd all from any to any via
>fxp0
>/sbin/ipfw -q add 300 allow all from any to any via lo0
>
>/sbin/ipfw -q add 400 deny log icmp from any to any in
>icmptype 5,9,13,14,15,16,17,18
>/sbin/ipfw -q add 410 allow icmp from any to any
>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21 setup
>
>/sbin/ipfw -q add 416 allow tcp from me 20 to any setup
>
>/sbin/ipfw -q add 442 allow all from me to any out via
>fxp0
>/sbin/ipfw -q add 443 allow all from me to any out via
>em0
>
>
>и не пашет. тоесть СОВСЕМ.
>на 21 порту fxp0 не отвечает никто вообще.
>
>где у меня грабли то?

а /etc/rc.conf не покажешь? (на предмет всяких gateway и firewall)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 09-Ноя-06, 09:16 
>а /etc/rc.conf не покажешь? (на предмет всяких gateway и firewall)

gateway_enable="YES"
firewall_enable="YES"

сам файрвол запускаю шелл скриптом из rc.d

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от perece on 08-Ноя-06, 18:34 
>До сих пор не получилось ничего сделать. я просто уже не знаю
>где копать.
>
>Через rinetd пробросом 20 и 21 порта не помогло.
>Настройкой через natd из топика
>http://www.opennet.me/openforum/vsluhforumID1/66731.html не помогает тоже...
>
>Как делаю:
>
>сервер с freebsd 6.1 смотрит наружу интерфейсом 195.16.х.х
>внутри локалки есть FTP-сервер с интерфейсом fxp0 192.168.1.х
>сервер работает в активном режиме (дабы ограничиться 20 и 21 портом)
>
>опции ядра:
>options         IPDIVERT
>options         IPFIREWALL
>options         IPFIREWALL_VERBOSE
>options         IPFIREWALL_FORWARD
>options         IPFIREWALL_FORWARD_EXTENDED
>
>
>rc.conf:
>natd_interface="fxp0"
>natd_flags="-f /etc/natd.conf"
>
>в natd.conf:
>same_ports      yes
>use_sockets     yes
>redirect_port  tcp      192.168.1.х:21 195.16.х.х:21
>
>в файрволе (даже упростил сейчас его, покомментив все лишнее что может мешать):
>
>/sbin/ipfw -q add 299 divert natd all from any to any via
>fxp0
>/sbin/ipfw -q add 300 allow all from any to any via lo0
>
>/sbin/ipfw -q add 400 deny log icmp from any to any in
>icmptype 5,9,13,14,15,16,17,18
>/sbin/ipfw -q add 410 allow icmp from any to any
>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21 setup
>
>/sbin/ipfw -q add 416 allow tcp from me 20 to any setup
>
>/sbin/ipfw -q add 442 allow all from me to any out via
>fxp0
>/sbin/ipfw -q add 443 allow all from me to any out via
>em0
>
>
>и не пашет. тоесть СОВСЕМ.
>на 21 порту fxp0 не отвечает никто вообще.
>
>где у меня грабли то?
1) откуда идет клиент? если он в инет вылазит через динамический НАТ (маскарадинг) то фтп в активе работать не будет и это проблема на стороне _клиента_
2) а кто вам сказал что активный фтп исключает возможность использования произвольного порта для потока данных? есть такая командочка ftp-протокола как PORT (а не только PASV)
использовать ее или нет - определяется _клиентом_ опять же

\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ (ok) on 08-Ноя-06, 19:36 
>>и не пашет. тоесть СОВСЕМ.
>>на 21 порту fxp0 не отвечает никто вообще.
>>
>>где у меня грабли то?
>1) откуда идет клиент? если он в инет вылазит через динамический НАТ
>(маскарадинг) то фтп в активе работать не будет и это проблема
>на стороне _клиента_
>2) а кто вам сказал что активный фтп исключает возможность использования произвольного
>порта для потока данных? есть такая командочка ftp-протокола как PORT (а
>не только PASV)
>использовать ее или нет - определяется _клиентом_ опять же
>


но ведь в любом случае по 21 порту должен ftp сервер подавать хотя бы признаки жизни? в плане телнета на 21 порт объявлять себя? так ведь не объявляет же... вот в чем загвоздка.

я могу опять же пользуясь той статьей сделать вариант для пассива, и вижу что мне так и надо делать... но пока надо хотя бы понять почему у меня не пашет проброс этот как в примере написано. 21 порт никак не проявляет себя.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от Nikolaev D. on 08-Ноя-06, 19:55 
>>>и не пашет. тоесть СОВСЕМ.

tcpdump  запусти и смотри что куда ходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от alexcom (??) on 08-Ноя-06, 20:21 
grep ftp /etc/services
ftp-data         20/tcp    #File Transfer [Default Data]
ftp              21/tcp    #File Transfer [Control]
У тебя 21 перебрасывается, а 20 нет...

т.е. надо в natd.conf:
same_ports      yes
use_sockets     yes
redirect_port  tcp      192.168.1.х:21 195.16.х.х:21
redirect_port  tcp      192.168.1.х:20 195.16.х.х:20

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 09-Ноя-06, 09:21 
>grep ftp /etc/services
>ftp-data         20/tcp  
> #File Transfer [Default Data]
>ftp            
>  21/tcp    #File Transfer [Control]
>У тебя 21 перебрасывается, а 20 нет...
>
>т.е. надо в natd.conf:
>same_ports      yes
>use_sockets     yes
>redirect_port  tcp      192.168.1.х:21 195.16.х.х:21
>redirect_port  tcp      192.168.1.х:20 195.16.х.х:20

поставил проброс обоих - не помогло. еще раз повторяю - при правильном пробросе хотя бы 21 порта я бы уже получал ответ от сервера внутреннего в виде пригласительной строки типа Ftp-Service такой то Ready
а так тишина...

более того, когда проброс организую через rinetd то эхо ответ получаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от alexcom (ok) on 09-Ноя-06, 11:29 
>>grep ftp /etc/services
>>ftp-data         20/tcp  
>> #File Transfer [Default Data]
>>ftp            
>>  21/tcp    #File Transfer [Control]
>>У тебя 21 перебрасывается, а 20 нет...
>>
>>т.е. надо в natd.conf:
>>same_ports      yes
>>use_sockets     yes
>>redirect_port  tcp      192.168.1.х:21 195.16.х.х:21
>>redirect_port  tcp      192.168.1.х:20 195.16.х.х:20
>
>поставил проброс обоих - не помогло. еще раз повторяю - при правильном
>пробросе хотя бы 21 порта я бы уже получал ответ от
>сервера внутреннего в виде пригласительной строки типа Ftp-Service такой то Ready
>
>а так тишина...
>
>более того, когда проброс организую через rinetd то эхо ответ получаю.

А правила фаервола такие же и оставил?
Если да, то добавь
/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21
/sbin/ipfw -q add 416 allow tcp from 192.168.1.х 21 to any
/sbin/ipfw -q add 417 allow tcp from any to 192.168.1.х 20
/sbin/ipfw -q add 418 allow tcp from 192.168.1.х 20 to any
ЗЫ. setup пишешь, а разрешить established ?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от alexcom (ok) on 09-Ноя-06, 11:51 
А вообще tcpdump на оба интерфейса. и многое станет ясно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 09-Ноя-06, 12:53 
>А вообще tcpdump на оба интерфейса. и многое станет ясно

дамп fxp0 - внешнего интерфейса в инет

12:42:29.396350 IP 82.142.x.x.60684 > 195.16.y.y.21: S 2204292105:2204292105(0) win 16384 <mss 1460,nop,nop,sackOK>
12:42:29.396557 IP 195.16.y.y.21 > 82.142.x.x.60684: S 2131519950:2131519950(0) ack 2204292106 win 65535 <mss 1460,sackOK,eol>
12:42:29.396908 IP 82.142.x.x.60684 > 195.16.y.y.21: . ack 1 win 17520
12:42:29.401378 IP 195.16.y.y.21 > 82.142.x.x.60684: P 1:50(49) ack 1 win 65535
12:42:29.414741 IP 82.142.x.x.60684 > 195.16.y.y.21: P 1:16(15) ack 50 win 17471
12:42:29.416037 IP 195.16.y.y.21 > 82.142.x.x.60684: P 50:86(36) ack 16 win 65535
12:42:29.429060 IP 82.142.x.x.60684 > 195.16.y.y.21: P 16:31(15) ack 86 win 17435
12:42:29.430724 IP 195.16.y.y.21 > 82.142.x.x.60684: P 86:116(30) ack 31 win 65535
12:42:29.439555 IP 82.142.x.x.60684 > 195.16.y.y.21: P 31:37(6) ack 116 win 17405
12:42:29.440997 IP 195.16.y.y.21 > 82.142.x.x.60684: P 116:135(19) ack 37 win 65535
12:42:29.449294 IP 82.142.x.x.60684 > 195.16.y.y.21: P 37:42(5) ack 135 win 17386
12:42:29.450553 IP 195.16.y.y.21 > 82.142.x.x.60684: P 135:166(31) ack 42 win 65535
12:42:29.459524 IP 82.142.x.x.60684 > 195.16.y.y.21: P 42:50(8) ack 166 win 17355
12:42:29.461007 IP 195.16.y.y.21 > 82.142.x.x.60684: P 166:186(20) ack 50 win 65535
12:42:29.469417 IP 82.142.x.x.60684 > 195.16.y.y.21: P 50:58(8) ack 186 win 17335
12:42:29.470890 IP 195.16.y.y.21 > 82.142.x.x.60684: P 186:232(46) ack 58 win 65535
12:42:29.488276 IP 82.142.x.x.60684 > 195.16.y.y.21: P 58:64(6) ack 232 win 17289
12:42:29.490139 IP 195.16.y.y.21 > 82.142.x.x.60684: P 232:283(51) ack 64 win 65535
12:42:29.623513 IP 82.142.x.x.60684 > 195.16.y.y.21: . ack 283 win 17238
12:42:30.814533 IP 82.142.x.x.60684 > 195.16.y.y.21: F 64:64(0) ack 283 win 17238
12:42:30.814690 IP 195.16.y.y.21 > 82.142.x.x.60684: . ack 65 win 65535
12:42:30.814806 IP 195.16.y.y.21 > 82.142.x.x.60684: F 283:283(0) ack 65 win 65535
12:42:30.815506 IP 82.142.x.x.60684 > 195.16.y.y.21: . ack 284 win 17238

x.x y.y - заменил вручную ессна перед выкладыванием. x.x - сервак с которого ломлюсь. y.y - внешний интерфейс фряхи

дамп em0 - внутреннего в локалку

12:46:08.021701 IP 192.168.e.e.58453 > 192.168.i.i.21: . ack 1 win 33304 <nop,nop,timestamp 6942235 0>
12:46:08.025429 IP 192.168.i.i.21 > 192.168.e.e.58453: P 1:50(49) ack 1 win 65535 <nop,nop,timestamp 16462629 6942234>
12:46:08.031362 IP 192.168.e.e.22 > 192.168.0.66.1456: P 892:2208(1316) ack 1 win 65535
12:46:08.037999 IP 192.168.e.e.58453 > 192.168.i.i.21: P 1:16(15) ack 50 win 33304 <nop,nop,timestamp 6942251 16462629>
12:46:08.039198 IP 192.168.i.i.21 > 192.168.e.e.58453: P 50:86(36) ack 16 win 65520 <nop,nop,timestamp 16462629 6942251>
12:46:08.052311 IP 192.168.e.e.58453 > 192.168.i.i.21: P 16:31(15) ack 86 win 33304 <nop,nop,timestamp 6942265 16462629>
12:46:08.053562 IP 192.168.i.i.21 > 192.168.e.e.58453: P 86:116(30) ack 31 win 65505 <nop,nop,timestamp 16462629 6942265>
12:46:08.062138 IP 192.168.e.e.58453 > 192.168.i.i.21: P 31:37(6) ack 116 win 33304 <nop,nop,timestamp 6942275 16462629>
12:46:08.063163 IP 192.168.i.i.21 > 192.168.e.e.58453: P 116:135(19) ack 37 win 65499 <nop,nop,timestamp 16462629 6942275>
12:46:08.071386 IP 192.168.e.e.58453 > 192.168.i.i.21: P 37:42(5) ack 135 win 33304 <nop,nop,timestamp 6942284 16462629>
12:46:08.072372 IP 192.168.i.i.21 > 192.168.e.e.58453: P 135:166(31) ack 42 win 65494 <nop,nop,timestamp 16462629 6942284>
12:46:08.080957 IP 192.168.e.e.58453 > 192.168.i.i.21: P 42:50(8) ack 166 win 33304 <nop,nop,timestamp 6942294 16462629>
12:46:08.082340 IP 192.168.i.i.21 > 192.168.e.e.58453: P 166:186(20) ack 50 win 65486 <nop,nop,timestamp 16462629 6942294>
12:46:08.091289 IP 192.168.e.e.58453 > 192.168.i.i.21: P 50:58(8) ack 186 win 33304 <nop,nop,timestamp 6942304 16462629>
12:46:08.092271 IP 192.168.i.i.21 > 192.168.e.e.58453: P 186:232(46) ack 58 win 65478 <nop,nop,timestamp 16462629 6942304>
12:46:08.109924 IP 192.168.e.e.58453 > 192.168.i.i.21: P 58:86(28) ack 232 win 33304 <nop,nop,timestamp 6942323 16462629>
12:46:08.110912 IP 192.168.i.i.21 > 192.168.e.e.58453: P 232:262(30) ack 86 win 65450 <nop,nop,timestamp 16462630 6942323>
12:46:08.119494 IP 192.168.e.e.58453 > 192.168.i.i.21: P 86:94(8) ack 262 win 33304 <nop,nop,timestamp 6942332 16462630>
12:46:08.120627 IP 192.168.i.i.21 > 192.168.e.e.58453: P 262:282(20) ack 94 win 65442 <nop,nop,timestamp 16462630 6942332>
12:46:08.128836 IP 192.168.e.e.58453 > 192.168.i.i.21: P 94:100(6) ack 282 win 33304 <nop,nop,timestamp 6942342 16462630>
12:46:08.131715 IP 192.168.i.i.21 > 192.168.e.e.58453: P 282:335(53) ack 100 win 65436 <nop,nop,timestamp 16462630 6942342>

e.e - локальный интерфейс фряхи, i.i - локальный интерфейс фтп сервера.

причем эта картина как при пассивном так и при активном коннекте.
смотрю по дампу только 21 порт активность вижу... а проброс 20 как будто и не существует.
ну или же пассивных портов...

что за нафиг...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 09-Ноя-06, 12:37 
>А правила фаервола такие же и оставил?
>Если да, то добавь
>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21
>/sbin/ipfw -q add 416 allow tcp from 192.168.1.х 21 to any
>/sbin/ipfw -q add 417 allow tcp from any to 192.168.1.х 20
>/sbin/ipfw -q add 418 allow tcp from 192.168.1.х 20 to any
>ЗЫ. setup пишешь, а разрешить established ?

да я уже от отчаяния попробовал даже
/sbin/ipfw -q add 100 divert natd all from any to any via fxp0
/sbin/ipfw -q add 110 allow all from any to any via lo0
/sbin/ipfw -q add 500 allow all from any to any

и все равно как об стену...
при этом успел попробовать на самом фтп сервере включить пассивный режим, ограничить порты пассивного режима для данных от 35000 до 35004, пробросить их как через нат так и через rinetd... хоть бы что... natd - полное молчание, rinetd - 21 порт замечательно обмен командами а передача данных - ступор.

поправка. добился другого ответа от сервера -
проходит команда PASV
ответ
451 - Passive mode denied by firewall

и это при том что файрвол на фре - всё разрешено...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от vmart (ok) on 09-Ноя-06, 12:57 
>>А правила фаервола такие же и оставил?
>>Если да, то добавь
>>/sbin/ipfw -q add 415 allow tcp from any to 192.168.1.х 21
>>/sbin/ipfw -q add 416 allow tcp from 192.168.1.х 21 to any
>>/sbin/ipfw -q add 417 allow tcp from any to 192.168.1.х 20
>>/sbin/ipfw -q add 418 allow tcp from 192.168.1.х 20 to any
>>ЗЫ. setup пишешь, а разрешить established ?
>
>да я уже от отчаяния попробовал даже
>/sbin/ipfw -q add 100 divert natd all from any to any via
>fxp0
>/sbin/ipfw -q add 110 allow all from any to any via lo0
>
>/sbin/ipfw -q add 500 allow all from any to any
>
>и все равно как об стену...
>при этом успел попробовать на самом фтп сервере включить пассивный режим, ограничить
>порты пассивного режима для данных от 35000 до 35004, пробросить их
>как через нат так и через rinetd... хоть бы что... natd
>- полное молчание, rinetd - 21 порт замечательно обмен командами а
>передача данных - ступор.
>
>поправка. добился другого ответа от сервера -
>проходит команда PASV
>ответ
>451 - Passive mode denied by firewall
>
>и это при том что файрвол на фре - всё разрешено...

/usr/local/etc/rinetd.conf
#out_ip port local_ip port
#Example
82.207.110.50 21 192.168.1.20 21

/etc/rc.conf
#Rinetd
rinetd_enable="YES"
rinetd_flags="-c /usr/local/etc/rinetd.conf"

/etc/rc.firewall

${fwcmd} add allow tcp from any 21 to any
${fwcmd} add allow tcp from any to any 21


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 09-Ноя-06, 13:34 
>/usr/local/etc/rinetd.conf
>#out_ip port local_ip port
>#Example
>82.207.110.50 21 192.168.1.20 21
>
>/etc/rc.conf
>#Rinetd
>rinetd_enable="YES"
>rinetd_flags="-c /usr/local/etc/rinetd.conf"
>
>/etc/rc.firewall
>
>${fwcmd} add allow tcp from any 21 to any
>${fwcmd} add allow tcp from any to any 21

вообще то этот вариант не работает. я уже писл раз 5 %)))
кроме проброса 21 порта надо еще и 20 в активном режиме и группу портов в пассивном пробрасывать.

опережая поств пишу: прописал проброс и 20 порта и серию портов которые обслуживает фтп сервер в пассивном режиме.

в файере вообще полный доступ уже.
/sbin/ipfw -q add 500 allow all from any to any
подозреваю что эта строка вообще абсолютный доступ дает отовсюду и везде %)

да даже попробовал добавить эти правила для очистки совести...
вот как ща полная таблица файера выглядит (хотя это не файер. тут всё разрешено :) ):

00100 divert 8668 ip from any to any via fxp0
00110 allow ip from any to any via lo0
00410 allow tcp from any 21 to any
00415 allow tcp from any to any dst-port 21
00500 allow ip from any to any
65535 deny ip from any to any

все равно ноль на массу. обмен командами есть - обмена данными - нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 09-Ноя-06, 13:50 
Люди, дайте пошаговую инструкцию уж для ламера. причем желательно проверенную на личном опыте.
ну не врубаюсь почему у меня не хочет работать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от aljil (??) on 09-Ноя-06, 14:51 
>Люди, дайте пошаговую инструкцию уж для ламера. причем желательно проверенную на личном
>опыте.
>ну не врубаюсь почему у меня не хочет работать.

Одно время тому назад парил себе мозги по этому же поводу. Но, видать, туп и криворук - нифига не вышло. Поэтому формально по сабжу ничего не скажу.
Однако так как проблему решать было таки надо, обошел ее с другого боку - поставил на гейт фтп-прокси (delegated). Пошло с полпинка. Хотя есть там нюансы и не для всех случаев такое, наверное, подойдет (у меня извне ломились не юзеры, а некая прога\скрипт, которые потом по фтп-протоколу сливали\забирали данные). Но как один из путей решения, наверное, можно рассмотреть и такое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 09-Ноя-06, 18:00 
>Одно время тому назад парил себе мозги по этому же поводу. Но,
>видать, туп и криворук - нифига не вышло. Поэтому формально по
>сабжу ничего не скажу.
>Однако так как проблему решать было таки надо, обошел ее с другого
>боку - поставил на гейт фтп-прокси (delegated). Пошло с полпинка. Хотя
>есть там нюансы и не для всех случаев такое, наверное, подойдет
>(у меня извне ломились не юзеры, а некая прога\скрипт, которые потом
>по фтп-протоколу сливали\забирали данные). Но как один из путей решения, наверное,
>можно рассмотреть и такое.


делегейта из портов вырезали...
вот по этой причине: http://security.freebsd.org/advisories/FreeBSD-SA-00:04.dele...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от alexcom (ok) on 09-Ноя-06, 20:41 
>Люди, дайте пошаговую инструкцию уж для ламера. причем желательно проверенную на личном
>опыте.
>ну не врубаюсь почему у меня не хочет работать.

То что я више писал работает. уже не первый год. У самого фтп-сервер внутри сети (за FreeBSD-сервером), переброс через natd. Ftp- proftpd.
Мысли:
1. Попробуй перебросить при помощи xinetd
2. ФТП 100-пудово работает? На ФТП-сервере telnet localhost 21 нормально отрабатывает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 10-Ноя-06, 09:35 
>То что я више писал работает. уже не первый год. У самого
>фтп-сервер внутри сети (за FreeBSD-сервером), переброс через natd. Ftp- proftpd.
>Мысли:
>1. Попробуй перебросить при помощи xinetd
>2. ФТП 100-пудово работает? На ФТП-сервере telnet localhost 21 нормально отрабатывает?

Вот почему то не получилось... хотя прописал вродь все как по инструкции %)
У меня внутренний сервак на виндозине Serv-U. Может быть сс ним какой то косячок...

1. Портирую ща... посмотрю что и как.
2. Фтп на внутреннем серваке работает. но не на локалхост отзывается а на 192.168.0.Х.
Я изнутри локалки с другой машины клиентом нормально подключаюсь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 10-Ноя-06, 09:51 
>1. Попробуй перебросить при помощи xinetd


попробовал...
вот конфиг

service redirect-port21
{
disable = no
type                    = UNLISTED
socket_type             = stream
protocol                = tcp
wait                    = no
port                    = 21
redirect                = 192.168.0.106 21
user                    = nobody
}

service redirect-port20
{
disable = no
type                    = UNLISTED
socket_type             = stream
protocol                = tcp
wait                    = no
port                    = 20
redirect                = 192.168.0.106 20
user                    = nobody
}


тот же результат. по 21 коннект есть, а данными обмениваться не хочет...
может все таки не там копаю и беза с самим фтп сервером? %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от alexcom (ok) on 10-Ноя-06, 10:21 
>>1. Попробуй перебросить при помощи xinetd
>
>
>попробовал...
>вот конфиг
>
>service redirect-port21
>{
>disable = no
>type            
>        = UNLISTED
>socket_type            
> = stream
>protocol            
>    = tcp
>wait            
>        = no
>port            
>        = 21
>redirect            
>    = 192.168.0.106 21
>user            
>        = nobody
>}
>
>service redirect-port20
>{
>disable = no
>type            
>        = UNLISTED
>socket_type            
> = stream
>protocol            
>    = tcp
>wait            
>        = no
>port            
>        = 20
>redirect            
>    = 192.168.0.106 20
>user            
>        = nobody
>}
>
>
>тот же результат. по 21 коннект есть, а данными обмениваться не хочет...
>
>может все таки не там копаю и беза с самим фтп сервером?
>%)

А фаерволов на Вин никаких не стоит случайно?
PS. Конфиг вроде нормальный для xinetd..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 10-Ноя-06, 10:54 
>А фаерволов на Вин никаких не стоит случайно?
>PS. Конфиг вроде нормальный для xinetd..

Сижу проверяю вот... В винде самой софта файерного нету, встроенный на интерфейсе отрублен... По идее ничего не должно мешать.
Что поражает - в различных реализациях проброса один и тот же результат с одинаковой ошибкой... Это настораживает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 10-Ноя-06, 11:23 
Так... Кажись я понял. %)
В настройках винды где фтп шлюзом по умолчанию являлся другой шлюзовой сервак. У нас их несколько... Вот туда он и отсылал данные и ессна не получал ответа.

Всё работает. При чем решение на xinetd и на rinetd работают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ email(ok) on 16-Ноя-06, 11:41 
>>тот же результат. по 21 коннект есть, а данными обмениваться не хочет...
>>
>>может все таки не там копаю и беза с самим фтп сервером?
>>%)
>
>А фаерволов на Вин никаких не стоит случайно?
>PS. Конфиг вроде нормальный для xinetd..


В общем поторопился обрадоваться... %(
Не работает проброс 20 порта все равно.

При коннекте на фтп с машины в этой же локальной сети через интернет - все работает. но работает через хрен знает как. 21 порт идет через шлюз а 20 порт - прямое соединение клиентской машины в локальной сети и сервера фтп в локальной же сети.

При коннекте извне - 21 порт отзыввается и соединение висит а 20 порт отрабатывать не хочет...

Блин. не понимаю почему не пашет.

На фтп сервере шлюзом по умолчанию стоит как раз фяха на которой1 организован проброс...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от cj_nik email(??) on 06-Июн-08, 10:00 
Год мессаги я смотрю бородатый, но всё же выскажу свои мысли... так сказать ИМХО, т.к. первый раз тоже долго мучался.

И так есть два пути проброса ftp "внутрь"

ПЕРВЫЙ  - правильный используя ftp-прокси, как это описано например в:
http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#p...

и вообще там популярно описано как фтп работает, (не пойму только кто такой изврат вообще придумал:) )

ВТОРОЙ, так сказать - "в лоб"
для proftpd сервера

  MasqueradeAddress my.domain.com
  PassivePorts 60000 60010

на роутере/нате пробрасываем порты 21, 60000-60010

уж не помню какой режим, активный или пассивный на клиенте надо использовать, работает в даннонм примере для 10 одновременных соединений
Возможно я что-то упустил, но основная суть описана.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от _RAW_ (ok) on 06-Июн-08, 10:29 
Угу. я уже проблему порешал давно. с того времени у меня этих серверов с пробросами развелось уйма %)
но за инфу все равно спасибо. кому нить еще будет явно полезна.

>уж не помню какой режим, активный или пассивный на клиенте надо использовать,
>работает в даннонм примере для 10 одновременных соединений
>Возможно я что-то упустил, но основная суть описана.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Еще раз про проброс внутреннего FTP сервера наружу"  
Сообщение от Андрей email(??) on 14-Мрт-09, 16:52 
>Угу. я уже проблему порешал давно. с того времени у меня этих
>серверов с пробросами развелось уйма %)
>но за инфу все равно спасибо. кому нить еще будет явно полезна.
>
>
>>уж не помню какой режим, активный или пассивный на клиенте надо использовать,
>>работает в даннонм примере для 10 одновременных соединений
>>Возможно я что-то упустил, но основная суть описана.

Можете поделиться конфигом? У меня на сервере с НАТ стоит фря, и надо пробросить фтп на сервер, который не в той же сети что и НАТ, возможно ли такое? С НАТа на ФТП-сервер
телнет проходит нормально.
/usr/bin/telnet 10.7.1.224 21
Trying 10.7.1.224...
Connected to 10.7.1.224.
Escape character is '^]'.
220 ProFTPD 1.3.2 Server

На ФТП-сервере
MasqueradeAddress x.y.v.z #внешний IP НАТа
PassivePorts 60000 65535
Схема сети такая:

НАТ ----- роутер --------- FTP-сервер
|
|
|
локалка

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру