FTP server za firewallem mikrotiku.

machca

pokud používáte FTP server na IIS 6 nebo ve windows server 2003 nebo 2000 tady je krásný návod http://www.iamiraqi.com/forum/forum_pos ... ndows-2003

hapi

ještě bych podotknul, že FTP musí mít ven plnej přístup, tedy ne jenom 20-21 směrem k němu, ale i všechny ven tedy natovat ftp mašinu bez omezení ven.

zero

ještě bych podotknul, že FTP musí mít ven plnej přístup, tedy ne jenom 20-21 směrem k němu, ale i všechny ven tedy natovat ftp mašinu bez omezení ven.

blbost Hapi..neni to potreba.. spravne nastavit FTP server na urcity porty ke klientovi (zvlast aktiv a zvlast pasiv) a jede to uplne ok. Takhle bys musel masinu, na ktere bezi dalsi desitky aplikaci povolovat kvuli FTP celou ven do netu.

machca

tak tak mam nastavený dstnat na porty 20 a 21 a pro pasivní režim 11000-13000 a bez chybně to funguje jedu teď mám teď widle 2003 a vše bez problémů chodí

hapi

no ano, protože má povolený 11000-13000 porty ven z toho serveru, jinak by to nešlo. Nebo prostě má jenom nat tý mašiny ven a to stačí.

machca

tak jen ten pasiv se musí u těch 2003 specifikovat na portech přes skript kterej je uvedenej v tom odkazu co jsem sem dával v příkazový řádce a v IIS se muzí zatrhnout jedno zatržítko, potom to funguje krásně přes pasiv s určenými porty. To pravidlo vypadá takhle : ;;; Windows 2003 FTP Server

chain=dstnat action=dst-nat to-addresses=172.1.1.17 to-ports=21

protocol=tcp dst-address=xx.xxx.xx.xxx dst-port=21

chain=dstnat action=dst-nat to-addresses=172.1.1.17 to-ports=20

protocol=tcp dst-address=xx.xxx.xx.xxx dst-port=20

chain=dstnat action=dst-nat to-addresses=172.1.1.17 to-ports=11000-13000

protocol=tcp dst-address=xx.xxx.xx.xxx dst-port=11000-13000

maxik

tech portu staci i mnohem min treba jen 2 zalezi kolik konexi chceme.

beny44

Chtěl bych otevřít po letech opět toto téma.

Mám obdobný problém. Nedaří se mě z "venku" připojit přes web prohlížeč na ftp. Z vnitřku LAN to ale jde. Aktivní připojení jde.

Mám FTP puštěné na NASu Synology, kde je možnost si zvolit pro pasivní připojení čísla portů.

V NATu MT mám jako první pravidlo maškarádu, posléze loopback a pak již jednotlivá pravidla ds-nat.

Jednoduše řečeno: vše co přijde z venku na portu 21 pošli na vnitřní adresu Nasu na port 21 a pro pasívní připojení vše co přijde z venku na portu 55536-55663 pošli na vnitřní adresu NAS na porty 55536-55663. U obou pravidel mám puštěn log.

Pokud se připojím zevnitř sítě (zadávám veřejnou IP pro ftp do prohlížeče) je použito pravidlo 2 - tedy pasivní připojení a připojí se. Zápis vypadá tak, že přijde něco na náhodném portu a je přeposláno do rozsahu portů zadaném v pravidle.

Pokud se ale připojím z internetu spojení neproběhne, respektive je vidět zalogovaný user v Synology, ale zpět nic neprojde. Je při tom ale použito pravdilo 1, kdy přijde něco na náhodném portu a je přeposláno na port 21 NAsu.

Odpoledne sem hodím zápisy, ať je to jasnější.

Pokud použiju jiný router, kde mám jen základní Naty (nějaký TP link) a přeloženo jen 21 port, tak to jde.

Někdo nějaký nápad?

drakk

Na to mikrotiku máš vypnutý v services port 21?

beny44

Jasně mám. Aktivní připojení (Total Commander) jde i z veku, ale pasiv ne.

beny44

Přikládám nastavení NATu

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

add action=masquerade chain=srcnat comment=Loopback out-interface=bridge-local

add action=dst-nat chain=dstnat comment=FTP dst-address=192.168.196.242 dst-port=21 log=yes log-prefix=ftp_aktiv protocol=tcp to-addresses=\

10.0.0.16

add action=dst-nat chain=dstnat comment=FTP_pasiv dst-address=192.168.196.242 dst-port=55536-55567 log=yes log-prefix=ftp_pasiv protocol=tcp \

to-addresses=10.0.0.16

Zápisy z LOgu neumím kopírovat, tak jsem udělal screen a vložil na galerii

Připojení z vnitřku LAN

http://www.benyhogalerie.cz/photo/#!Alb ... 4e2e6a7067

Připojení z WAN

http://www.benyhogalerie.cz/photo/#!Alb ... 4e2e6a7067

Oboje dvoje je pasivní připojení, ale pokud jdu z venku používá port 21.

goblajz

/ip firewall nat

add action=dst-nat chain=dstnat dst-port=21 in-interface=ether1 protocol=tcp to-addresses=192.168.196.242 to-ports=21

beny44

192.168.196.242 je IP wanu. To musí být na IP FTP serveru tedy 10.0.0.16, ale i tak to nejde.

ludvik

Aktivní FTP znamená, že se klient připojí na port 21 serveru, tam ho komanduje ... a datové přenosy dělá server - připojí se na klienta na nějaký dohodnutý port.

Pasivní FTP je varianta, kdy se jak pro příkazové spojení, tak pro data připojuje jen klient na server. Řeší to problémy s NATem u klientů ...

Problém vlastně v obou variantách je to, že porty si dohadují klient se serverem. Takže i v případě pasivního spojení může nastat případ, kdy ten daný port NATem neprojde.

V linuxu existuje modul (netfilter helper), který dle dat příkazovém spojení vychytává porty a ovlivňuje to druhé spojení - stává se z toho RELATED. Jak to má mikrotik netuším, nic obdobného nikde nevidím.

Problém bych viděl v tom několikanásobném NATu. To Synology řekne klientovi, aby se připojil na IP 10.0.0.16 a port 55536. No a on to udělá ... má šanci mu projít spojení na privátní adresu?

A pokud se v tom pohrabe helper na tom mikrotiku, tak z 10.0.0.16 udělá (uvnitř dat, ne jenom v hlavičce) IP adresu 192.168.196.242 ... a jsi tam, kde jsi byl, tedy v pekelných osidlech NATu.

Mimochodem tohle chování FTP je krásné v případě, kdy já ovládám dva servery a přenáším data mezi nima. Velká výhoda z dřevních dob, kterou asi už nikdo nedokáže jednoduše využít.

FTP je prostě na tohle naprd. To už je lepší použít Sambu a otevřít si port 445. Stačí jeden, a je klid.

beny44

Takže řešení přes MT neexistuje pro pasivní připojení?

Je to škoda, protože na obyčejném routeru od TPlinku to jede.

Vidím to taky tak, že něco neprojde přes NAT, protože klient je vidět na serveru, že se připojil, ale nestáhne si vůbec seznam složky a po čase se odpojí. Vyzkoušel jsem dnes Server-U se steným výsledkem pro pasivní připojení. Zevnitř z lokálu to jde, přes wan bohužel.

Pokud to nerozchodím holt budeme používat aktivní spojení přes TC a bude o pár kliků více myší.

ludvik

V tom tplinku bude linux stejně jako na ROS. Tzn. je ještě možnost, že máš chybu někde jinde ... V tplinku totiž nevidíš, co ve skutečnosti vytvoří za pravidla a jaké moduly použije (i když to ani ROS).

Je to škoda, protože na obyčejném routeru od TPlinku to jede.

beny44

Máš pravdu, v TP linku prostě některá nastavení ani nejsou což je tento případ,

Vše dělal příkaz loopback

1 X ;;; Loopback

chain=srcnat action=masquerade out-interface=bridge-local log=yes log-prefix="Lookback"

Pokud jej mám aktivní dostanu se z lokálu pasivem, pokud ho zakážu z lokálu se přes veřejnou na ftp nedostanu, ale z venku to jde.

xiksao

Přidám svoje poznatky

Po dlouhém laborování jsem rozchodil ftp za natem

FTP mám na portu 9900

add action=dst-nat chain=dstnat dst-address=[wan-adresa] dst-port=9900 \

protocol=tcp to-addresses=[ip ftp serveru] to-ports=9900

set ftp ports=9900,21

Takže celý problém byl v přidání portu na kterém běží ftp do services portu v MK.

Třeba to někomu pomůže.

maxdevaine

Jak už tu bylo řečeno, pro ftp za natem musí být :

1) vypnutý ftp na MK

2) port forwarde pro porty 20,21 -> lokální IP,21

3) port forwarde pro pasivní porty 44000-44444 -> lokální IP-44444

4) tyto pasivní porty je třeba mít definovány na ftp serveru

5) na ftp serveru musí být nastavena pro pasivní spojení i veřejná IP

- v případě Synology to je volba "hlásit externí IP adresu v režimu PASV"

- v případě pureftpd je to volba "ForcePassiveIP"

- v případě proftpd je to volba "MasqueradeAddress"

Toto vše je potřeba v případě, že router po cestě je "hloupý" a nemá nat helper

V případě iptables :

nf_conntrack_ftp

nf_nat_ftp

Mikrotik má NAT Helper a zapíná se v "/ip firewall service-port" (defaultně je zapnut)

Zdar Max

« Předchozí stránka