» FTP и WinRoute

Поставил на шлюз WinRoute, включил Proxy.
Народ из внутреней сетке лазиет по HTTP нормально, а ftp работать отказывается;-((
Помогите чайнику разобраться.

proxy и ftp никак не относятся .

тебе NAT надо включать , если конечно нет желания извращаться с ftp proxy.

Дело в том, что NAT включен.
Доступ через 20 и 21 порт не запрешен, а не работает.

а чего говорит то ?
Подробный Лог ftp клиента в студию

что говорит telnet ftp.glasnet.ru 21

Пакет с внутренней сетки на внешний ftp проходит.
Там сервер отвечает, пакет доходит до шлюза, а во внутреннию сетку не попадает.
Клиент пишет, что не может установить соединение, и это понятно почему.
Не понимаю, почему пакет не перекладывается с внешней карты на внутрению.
;-((

winroute фаервол пакетный а не сессионный .
Точно прохождение входящих пакетов разрешил ?
сними временно фаервол и посмотри что будет .

либо nat либо стена

Добавлено
кстати - не запрещен в понимании фаервола не значит что разрешен .
явное правило - разрешить всем пакеты по 21 20 портам в обе стороны стоит ?

Я там поставил на все входящий и исходящие пакеты Permit.
И все равно не работает.;-((
Думаю, что дело в NAT, но точно понять ничего не могу.

А как снять полностью FireWall??

Протокол FTP предусматривает открытие 2 соединений на сессию -- командного (как telnet) и данных. Отсюда и ноги растут. Кстати, в этом форуме это уже обсуждалось с месяц назад где-то. Решение: используй на клиентах только пассивный режим. Если будет интересно, объясню более детально.

Я и использую пасивный режим, который предусматривает обмен по портам 20 и 21.
Дело в том, что не на шлюзе застревает ответ с 21 порта.
Все пакеты, без ограничений разрешил, думал, в друг в этом дело.
Поэтому понять и не могу.

Боюсь, что ты неверно интерпретируешь стандарт FTP. Дело в том, что при активном режиме (обычном) работы FTP соединение данных устанавливает удаленный сервер, а не клиент. Теперь подумай -- твои клиенты сидят за firewall'ом, они не имеют действительных IP адресов, а в Internet'е появляются с адресом этого firewall'а (NAT).
Теперь сервер пытается установить соединение данных с клиентом (по адресу firewall'а). Где оборвется эта попытка? Правильно, на firewall'е. Потому что firewall, получив инициированное FTP сервером соединение на свой 20й порт не знает, что делать с ним дальше, кто является получателем этого соединения во внутренней сети. В пассивном же режиме сервер не инициирует соединение данных самостоятельно, а лишь сообщает клиенту сокет, по которому тот должен установить соединение самостоятельно. Т.е. в пассивном режиме все соединения инициируются клиентом и поэтому именно вэтом режине надо работать через NAT. Пэтому ответ остается прежний -- включи пассивный режим на клиенте.


Цитата:

Дело в том, что не на шлюзе застревает ответ с 21 порта.

А где он застревает?

Извини, да я понял свою ошибку, но делал именно так, ставил пасивный режим.
Все равно не работает;-((

Я смотрю, что пакет пришел на шлюз, по WinRoute, а c внутреней сетевой карты от на клиена не отправляется.

Попробуй FlashGet или ReGet настроить на пассивный режим и скачать что-нибудь -- у них обоих во время сессии выводится вся информация, как будто ты запустил ftp.exe и работаешь из него. Сдается мне, что что-то с клиентом не то. Кстати, что за клиент?

Такое у меня было если клиентские машины адреса получают автоматически (через DHCP). После установки статического адреса ftp прекрасно работает.

и все таки -

Цитата:

Подробный Лог ftp клиента в студию

Цитата:

Я и использую пасивный режим, который предусматривает обмен по портам 20 и 21.
Дело в том, что не на шлюзе застревает ответ с 21 порта.
Все пакеты, без ограничений разрешил, думал, в друг в этом дело.
Поэтому понять и не могу.

Вот здесь у тебя небольшая логическая ошибка. Дело в том что 21 для комманд и 20 для данных используется для активного режима, который через НАТ не работает.
Тебе нужен пассивный режим, т.е. разрешения на 21 порт для комманд и на динамически выделяемый порт больший 1024.

А все пакеты разрешил на обоих интерфейсах?

у меня та же петрушка с WinRoute Firewall....а что значит "динамически выделяемый порт больштй 1024?" WinRoute должен клиенту его динамически выделить при каждом соединении с FTP серваком? Если да - то где это настраивается? И кстати, вот еще вопрос: как определить активный проксик или нет и как использовать пассивный режим у клиентов (речь не идет о ReGet, а просто о браузере? В WinRoute есть флажок насчет прозрачного прокси, а про активность не нашел...

при входе на любой FTP выдается ошибка:

"В ходе открытия папки на FTP-сервере произошла ошибка. Убедитесь, что у вас есть разрешение открывать эту папку.

Подробности:
200 Type set to A
200 PORT command successfull
425 Can't build data connection: Connection timed out"

иногда (например ftp.microsoft.com)

200 Type set to A
200 PORT command invalid

Всем огромное спасибо за ответы!

Можно ли в принципе сделать доступным для конкретных юзеров протокаол FTP и
учесть по нему трафик?

KWF 5.1.0

Romani

Цитата:

Вот здесь у тебя небольшая логическая ошибка. Дело в том что 21 для комманд и 20 для данных используется для активного режима, который через НАТ не работает.

Гм... Открыт 21 порт. Поднят NAT. FTP в активном режиме (FAR, галка "Пассивный режим" снята, KWF 5.0.0) работает. Что я делаю не так?

Sadok

Цитата:

(FAR, галка "Пассивный режим" снята, KWF 5.0.0) работает. Что я делаю не так?

И ты делаешь все так, и Romani прав (про свои более ранние посты я не упоминаю лишь из скромности ). В твоем случае ключевой фактор -- KWF 5.0.0, инспектирующий и модифицирующий FTP траффик "на лету", чего не делает WinRoute 4.X. О том, что KWF модифицирует данные мы можем судить из следующего описания, данного на офсайте KWF

Цитата:

Protocol inspection
Protocol inspection helps certain applications with proprietary protocols (not originally designed with firewall negotiation in mind) to be used in secured local area networks. Many protocols can be scanned, filtered or modified, thus increasing firewall restrictiveness and reporting capabilities.

а также (косвенно)

Цитата:

Antivirus control cleans HTTP and FTP traffic at the gateway.

Так что поток перлюстрируется и модифицируется, что означает, что твой случай отличается от того, который обсуждался в этом топике изначально.

А у меня возникают такие проблемы. Когда запущен WinRoute, то по FTP не получается выгружать (upload) большие файлы (более 3 килобайт). Т.е. маленькие проскакивают. Команды тоже. А как пытаешься отправить файл подлиннее, то уходит примерно 3 кб и все встает (отваливается по Timeout'у)
Подскажите, где грабли.

а у меня такое чудо - smartFTP нормально идет, а вот попробовал WinCMD и не идет
Ну и теперь хочу поставить, вернее уже поставтил FTP сервер (Serv-U), может и не в тему обращаюсь (тогда поругайте), но подскажите как людям из инета обращаться к моему серверу если у меня есть доменное имя, но на сервере провайдера (там сайт), т.е. ИМХО надо по моему внешнему IP? И еще если можно правила пакетного фильтра какие должны быть, если FTP стоит в ЛАН за WinRoute? уффф...ВСЕ.

Добавлено
а у меня такое чудо - smartFTP нормально идет, а вот попробовал WinCMD и не идет
Ну и теперь хочу поставить, вернее уже поставтил FTP сервер (Serv-U), может и не в тему обращаюсь (тогда поругайте), но подскажите как людям из инета обращаться к моему серверу если у меня есть доменное имя, но на сервере провайдера (там сайт), т.е. ИМХО надо по моему внешнему IP? И еще если можно правила пакетного фильтра какие должны быть, если FTP стоит в ЛАН за WinRoute? уффф...ВСЕ.

ooptimum

Цитата:

KWF 5.0.0, инспектирующий и модифицирующий FTP траффик "на лету"

Хоть и давно это было К сожалению, это не так (для пассивных соединений, с активными еще не сталкивался в этой ситуации). Просто для меня настройки были по типу "весь интренет - куда кгодно - без ограничений". А с простыми юзерами оказалось сложней. (Это на 5.0.0 и не знаю, пофиксили багу или нет). Мало открыть 21 порт, нужно еще и разрешить все порты > 1024 по принципу "локалка - интернет - порты > 1024 - можно - NAT". Эта версия KWF динамически порты не открывает По этому приходится вместо "интернет" прописывать фтп-сервера "куда-можно-или-надо"... Вот так. Абыдно, э

Добавлено
vworld

Цитата:

поставтил FTP сервер (Serv-U), может и не в тему обращаюсь (тогда поругайте), но подскажите как людям из инета обращаться к моему серверу если у меня есть доменное имя, но на сервере провайдера (там сайт),

Э... Не понял. Сайт в одном месте, а фтп-сервер в другом? Если да, то извините...

Цитата:

если FTP стоит в ЛАН за WinRoute

На случай, если все-таки я не понял У меня Serv-U за KWF.

В настройках Серв-У:
В настройках сервера: указать диапазон портов для пассивного режима(у меня 2000-2010).
В настройках домена: разрешить пассивный режим, с указанием внешнего ip. Не указывать ip самого домена. Это поле оставить пустым, чтобы он слушал сразу внешние и внутренние ip.

В настройках KWF (у меня Серв-у и KWF на одной машине, поэтому маппинга нет):
Разрешить входящие на 21 порт, исходящие с 20-ого (с NAT'ом), входящие на пассивные порты (в моем случае 2000-2010)

Все.
ПЫС: на всякий случай - работать с твоим фтп можно будет только в пассивном режиме.

Sadok

Цитата:

Хоть и давно это было К сожалению, это не так (для пассивных соединений, с активными еще не сталкивался в этой ситуации).

Конечно это не так для пассивных соединений, потому что в этом случае ничего модифицировать не надо, т.к. пассивные соединения как раз и предназначены для работы из-за файрвола. Речь шла про активные соединения.

Цитата:

Мало открыть 21 порт, нужно еще и разрешить все порты > 1024 по принципу "локалка - интернет - порты > 1024 - можно - NAT".

Все верно и никакая это не бага. А то, что он динамически порты не открывает -- это особенность реализации. Никто и не обещал, кстати. Впрочем, как никто и ничто не обязывает так делать.

Sadok

Цитата:

Э... Не понял. Сайт в одном месте, а фтп-сервер в другом? Если да, то извините...

Да ..сайт у провайдера, а вот FTP сервер у меня в локальной сети


Цитата:

(у меня Серв-у и KWF на одной машине, поэтому маппинга нет):

А у меня Serv-U на клиентской машине внутри локалки, т.е. за WinRoute, тогда как?

vworld

Цитата:

Serv-U на клиентской машине внутри локалки, т.е. за WinRoute, тогда как?

на машину с WinRoute надо ставить программу для форвардинга потров (что за прога для винды - понятия не имею, но например у меня на freebsd этим занимается natd). прога откроет 21 порт на внешнем интерфейсе машины с KWF и будет переправлять входящие подключения на 21 порт машины внутри локалки. возможно такой же трюк надо проделать с 20 портом. ну и по вкусу - внести в ДНС запись о том, что твой ftp имеет CNAME роутер

lek

Цитата:

прога откроет 21 порт на внешнем интерфейсе машины с KWF и будет переправлять входящие подключения на 21 порт машины внутри локалки.

Это и есть порт маппинг? В WinRoute это вроде Распределения портов...

Добавлено
lek

Цитата:

на машину с WinRoute надо ставить программу для форвардинга потров (что за прога для винды - понятия не имею, но например у меня на freebsd этим занимается natd). прога откроет 21 порт на внешнем интерфейсе машины с KWF и будет переправлять входящие подключения на 21 порт машины внутри локалки. возможно такой же трюк надо проделать с 20 портом. ну и по вкусу - внести в ДНС запись о том, что твой ftp имеет CNAME роутер

Хитро завернуто - без бутылки не разобраться, это все потому, что на Free!
А ты вот попробуй все на винде и плюс еще всякие там прокси и еще всякую дребедень!

vworld

Цитата:

Это и есть порт маппинг? В WinRoute это вроде Распределения портов...

да, припоминаю, что было такое и я как-то настраивал для radmin'a проброс в локальную сеть. так что WinRoute думаю вполне хватит для форвардинга ftp. теперь пробрасывай 21 порт и смотри, получается или нет. вот нашёл ещй пару ссылок: эта и эта, может помогут

добавил
вот ещё про фтп

vworld

Цитата:

Да ..сайт у провайдера, а вот FTP сервер у меня в локальной сети

Ну и как обновлять сайт, который находится "там" черз сервер, который находится "здесь"?

Цитата:

А у меня Serv-U на клиентской машине внутри локалки, т.е. за WinRoute, тогда как?

Настроить port mapping (в руссифицированной версии не знаю как называется). Все так же, как рассказал, только "пробрасывать" соединение на нужноую машину. Принцип можно поглядеть на liter.narod.ru

ooptimum

Цитата:

Все верно и никакая это не бага. А то, что он динамически порты не открывает -- это особенность реализации. Никто и не обещал, кстати. Впрочем, как никто и ничто не обязывает так делать.

Увы Мне казалось, что это очевидно. Клиент захотел, клиенту разрешено - вперёд! Согласись, что открывать все порты > 1024 на исходящие - суть нарушение принципов существования файрвола/безопасности/секьюрности...

Sadok

Цитата:

Мне казалось, что это очевидно. Клиент захотел, клиенту разрешено - вперёд!

Ну дак напиши тогда разработчикам WinRoute, чтобы им тоже очевидно стало. Нет, я не спорю, что здравый смысл в твоей идее есть, но мы имеем то, что имеем. Не так ли? Я вот, например, хочу, чтобы компьютер сам за меня нужные программы писал. Но не может...

Цитата:

Согласись, что открывать все порты > 1024 на исходящие - суть нарушение принципов существования файрвола/безопасности/секьюрности...

Согласись, что вообще работа с FTP напрямую -- суть нарушение той же секьюрности. Используй прокси -- вот ответ по поводу секьюрности, если тебя так заботят открытые на выход порты.