Xpoint
   [напомнить пароль]

Не работает FTP за Ciscoй

Метки: [без меток]
[арх]
2010-06-10 09:38:55 [обр] семён[досье]
На WIN Server 2008 R2 standart поднят FTP сервер средствами IIS. Из локалки всё работает,только порт пришлось выбрать не 21(почему-то по нему снаружи вообще не коннектился), а 41.
Из интернета коннект клиента (filezilla) c сервером есть,но с ошибкой "не могу получить список каталогов".
В пассивном режиме есть сообщение "сервер отправил пассивный ответ с неопределяемым адресом, использую существующий.." и тоже "не могу получить список каталогов".
Брндмауэр и антивир на сервере отключены совсем.Есть подозрение в недопрограммировании роутера.
Роутер CISCO 851 K-9 конфигурил с помощью SDM express через WEB интерфейс. В нём прописаны стат IP провайдера,маска, шлюз,DNS 2 штуки, а также включён NAT для входящих на IP WAN port 41---> lan IP FTP port 41.
А как с исходящими сделать? Или я вообще не там думаю?Как сделать чтобы снаружи тоже работало?
Спасибо.
спустя 22 часа [обр] Евгений Седов aka KPbIC(7/176)[досье]
семён[досье] Вы ни слова не написали про SNAT и про порт FTP для данных (FTP использует два сокета, один для управления и один для потока данных).
спустя 4 дня [обр] семён[досье]
Спасибо за ответ.
Про то что ftp пользует 2 порта (соединения)я знаю, поэтому в роутере в таблице NAT прописаны такие-же адреса проброса для порт 40, но это не помогает, потому что я ведь не знаю,какой именно порт назначит клиент при пассивном соединении. Попутно вопрос возник: этот NAT, что я прописал может считаться DNAT?
А SNAT я не нашёл где прописывается, может только через консоль?
спустя 22 часа [обр] Евгений Седов aka KPbIC(7/176)[досье]
семён[досье] Погуглите на тему "ftp+dnat".
спустя 9 часов [обр] семён[досье]
Погуглил,- много интересного. Но моя проблема конкретно не обсуждается.В основном почему-то линукс, или комп с двумя сетевухами.
Всё же как программировать роутер CISCO чтобы он пропускал соединение для данных FTP на любой порт?
спустя 15 часов [обр] Евгений Седов aka KPbIC(7/176)[досье]
Я не спец по цискам и винде, но очевидно, что в пассивном режиме ваш ftp-сервер на уровне приложения указывает IP для соединения с ним из не маршрутизируемого диапазона. Смотрите документацию на ваш девайс, вам нужна специальная возможность по dnat'у ftp, так как шлюзу необходимо "расковырять" сам протокол ftp, чтобы он мог подменить ип-адрес сервера.
спустя 1 час 6 минут [обр] семён[досье]
Спасибо.
Заработало,видимо cisco сама разобралась ,что это FTP.
Просто перевёл FTP сервер на 21 порт,а в роутере в разделе NAT добавил запись WAN IP port 20 ---> lan IP FTP port 20
для канала данных и заменил 41 порт на 21 для команд.
Видимо раньше по 21 порту резал брандмауэр винды,теперь правило для него составить нужно и включить.
Powered by POEM™ Engine Copyright © 2002-2005