на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Другие » Общие вопросы по Сетям
Страницы: 1
RSS
Не открывает дин. порты для PASV MODE!
 
#1
0
14.09.2006 15:10:00

На сервере (w2003s SP1) где стоит TI (1.1.4.195) запущена служба FTP, в свойствах сет. экрана поставили все галки для FTP (в самом низу две штуки, в принципе я их все поставил, т.к. все это надо). Все остальное перекрыто. Попасть на свой сервак, однако я с наружи могу только в "активном" режиме, т.е. когда порт для данных открывает FTP сервер. В пассивном случае FTP клиент порт открывыет, но до FTP сервера не доходит к нему прицепиться не может. Если добавить фильтр на разрешение по дин. портам то в пассивном режиме все тоже ОК. Если я правильно читал библию по TI, то там написано, что анализируется трафик на 21 порту, который ессно открыт и для осуществления FTP соединения в пассивном режиме с наружи TI приоткрывает нужный порт, так вот этого не происходит, а очень печально. До некотрого времени, чтобы эту проблему решить часть дин. портов я открыл, за что поплатился 10$ неконтроллируемого трафика от каких- то уродов , хорошо хоть вовремя заметил. Теперь пришлось порты закрыть, и приоткрывать только тогда, когда кто нить захочет из под FireWalla покачать, но это же просто УЖАСТНО! В чем может быть проблема?
 
 
 
#2
0
14.09.2006 15:57:00
Попробуйте сделать фильтр в сетевом экране на открытие TCP порт 21.
 
 
 
#3
0
14.09.2006 19:47:00

Вот что я получаю на том конце (подключение из инета):



[19:38:07] SmartFTP v2.0.998.8
[19:38:08] Resolving host name "87.238.ХХХ.ХХХ"
[19:38:10] Connecting to 87.238.ХХХ.ХХХ Port: 21[19:38:11] Connected to 87.238.ХХХ.ХХХ.
[19:38:11] 220 Microsoft FTP Service
[19:38:11] USER Eugeniy
[19:38:12] 331 Password required for Eugeniy.
[19:38:12] PASS (hidden)
[19:38:12] 230 User Eugeniy logged in.
[19:38:12] SYST
[19:38:13] 215 Windows_NT
[19:38:13] Detected Server Type: Windows NT[19:38:13] FEAT
[19:38:13] 211-FEAT
[19:38:14] SIZE
[19:38:14] MDTM
[19:38:14] 211 END
[19:38:14] TYPE I
[19:38:14] 200 Type set to I.
[19:38:14] REST 0
[19:38:15] 350 Restarting at 0.
[19:38:15] PWD
[19:38:15] 257 "/" is current directory.
[19:38:15] TYPE A
[19:38:16] 200 Type set to A.
[19:38:16] PASV
[19:38:16] 227 Entering Passive Mode (87,238,118,9,93,239).
[19:38:16] Opening data connection to 87.238.118.9 Port: 24047
[19:38:16] LIST -aL
[19:38:29] 425 Can't open data connection.
[19:38:29] Automatic failover of data connection mode from "Passive Mode (PASV)" to "Active Mode (PORT)".[19:38:29] PORT 192,168,1,202,5,62
[19:38:29] 500 Invalid PORT Command.



Ну последние 2 строки понятно, попробовали зацепиться в активном режиме - тоже не прокатило из-за firewalla в этой подсети. 87.238.ХХХ.ХХХ - это мой внешний адрес. Примем все равно есть фильтр на разрешение как Вы указали на порт 21 или нет



И вот, что я получаю если открываю динамические порты на прием:



[19:46:43] Resolving host name "87.238.118.9"
[19:46:43] Connecting to 87.238.118.9 Port: 21[19:46:43] Connected to 87.238.118.9.
[19:46:43] 220 Microsoft FTP Service
[19:46:43] USER Eugeniy
[19:46:44] 331 Password required for Eugeniy.[19:46:44] PASS (hidden)
[19:46:44] 230 User Eugeniy logged in.
[19:46:44] SYST
[19:46:45] 215 Windows_NT
[19:46:45] Detected Server Type: Windows NT[19:46:45] FEAT
[19:46:45] 211-FEAT
[19:46:46] SIZE
[19:46:46] MDTM
[19:46:46] 211 END
[19:46:46] PWD
[19:46:46] 257 "/" is current directory.
[19:47:01] TYPE A
[19:47:01] 200 Type set to A.
[19:47:01] PASV
[19:47:02] 227 Entering Passive Mode (87,238,118,9,94,35).
[19:47:02] Opening data connection to 87.238.118.9 Port: 24099
[19:47:02] LIST -aL
[19:47:03] 125 Data connection already open; Transfer starting.
[19:47:03] 207 bytes transferred. (455 байт/s) (454 ms)[19:47:03] 226 Transfer complete.
 
 
 
#4
0
14.09.2006 19:59:00

А вот фильтр, который я ставлю на разрешение, что бы обойти эту ситуацию, но не очень ставить его хочу:



Фильтр, будь он неладен
 
 
 
#5
0
14.09.2006 20:24:00

И вот что написано в документации:



Имеется поддержка динамической фильтрации FTP-DATA. Анализируется FTP команды PORT и PASV и на время FTP сессии динамически открываются разрешения для этого трафика.
 
 
 
#6
0
14.09.2006 21:39:00

Пока для пассов. точнее для их белых и пушистых адресов выкрутился добавлением фильтра в сетевом экране на разрешение с конкретных адресов. Список пополняется ...  А сколько всего фильтров можно прикрутить? 100 потянет или вешалка? Может стоит сделать в фильтрах IP список? Как в фильтре до группы например

 
 
 
#7
0
15.09.2006 10:28:00

 

Цитата


Имеется поддержка динамической фильтрации FTP-DATA. Анализируется FTP команды PORT и PASV и на время FTP сессии динамически открываются разрешения для этого трафика.



Это должно работать, проверялось многократно.



Для начала поглядите, нормально-ли драйвер ТИ увидел запрос на FTP DATA сессию. Это смотрится в Диагностика, Драйверы, драйвер внешнего интерфейса. Там есть счетчик FTP сессий. Глядеть надо в момент, когда клиент послал команду PASV.



 
 
 
 
#8
0
15.09.2006 11:13:00

Да видит, у меня 3 раздела GenegicWAN, локальная сеть, Спутниковый интернет. При команде PASV у спутникового интерента появляется на против FTP  - 1 было 0, при попытке завязаться на другой интерфейс у GenericWAN 1 вместо 0. НО результат - тот же. Через некоторое время 10-15 сек единичка пропадает. Где еще копать? Может так быть, что открывает, но поздно уже...

Check38975.4687384259
 
 
 
#9
0
17.09.2006 11:34:00

Цитата
Это должно работать, проверялось многократно

Однако это все таки не работает, в чем может быть еще причина?
Может на support что нибудь прислать?
 
 
 
#10
0
18.09.2006 10:20:00

Цитата
При команде PASV у спутникового интерента
 Спутниковый интернет ? А как там это все настроено ?



Присылайте support report, поглядим конфигурацию. Тут скорее всего с этим связано - динамические порты FTP-DATA открываются только на одном внешнем интерфейсе.



 
 
 
 
Страницы: 1
Читают тему (гостей: 2)