FTP при изменении Destination port range не работает

avec1313

Ну что господа, к сожалению это мой первый опыт работы с unix\linux-подобными система и как следствие отсутствие и практики и теории. Пробовал погасить debug.pfftpproxy  и сразу же я у перся в ту же самую точку что и на других портах. У меня есть только два решения это задачи:

1. Если ваш опыт и практика позволяет взглянуть "поглубже" и посмотреть какие пробросы у нас выставляются в случаи выбора вкладки (FTP) на Destination port range.

2. Или подсказать как бы мне сменить само это значение. С 21 порта на любое другое.

И в том и другом случаи без вас "Ребята", мне обойтись.

Надеюсь на вашу помощь, спасибо.

dvserg

Настройки ftp сервера какие?

werter

Настройте в FZ явно дипазон портов для passive mode и пробросьте их вместе с 21\TCP.

dvserg

@werter:

Настройте в FZ явно дипазон портов для passive mode и пробросьте их вместе с 21\TCP.

Да он пытается уйти от 21 порта. Думаю при этом в диапазон passive лезет.

werter

Ну уж 21-ый на нужный сменить - не проблема .

dvserg

http://www.imho.ws/showthread.php?t=147280
"указал в pasv_address свой внешний адрес. диапазон портов и прокинул их на шлюзе. "

avec1313

Спасибо за ответ, видимо я был не точен.

Имеем w2012k2 на котором поднят FTP на IIS. В настройках FTP указан внешний IP брандмауэра 62.xx.xx.xx. и порты с 5000-5010.

После данных установок из FZ пошли такого рода ответы:
Ответ: 227 Entering Passive Mode (62,xxxxx,193,67).
Т.е. IP он перешивает но не может соединиться обратно по портам 5000-5010.

Вот конкретного их я и не могу понять как прокинуть?

Имеем такого рода правильно на PFsense:
nat: port forwarding:

1. WAN TCP * * WAN address 6211 10.86.33.155 3389 (MS RDP)
   2)  WAN TCP * * WAN address 6221 10.86.33.155 21 (FTP)

3)TCP/UDP * * * 5000 - 5010 10.86.33.155 ftppassive - 10

ftppassive - allias с портами 5000-5010

rules wan:

1. IPv4 TCP * * * 40156 * none

2)  IPv4 TCP * * 10.86.33.155 3389 (MS RDP) * none   NAT rdp na pts

3)  IPv4 TCP * * 10.86.33.155 21 (FTP) * none   NAT

4. IPv4 TCP * * 10.86.33.155 5000 - 5010 * none

5. IPv4 TCP/UDP * * 10.86.33.155 ftppassive - 10 * none

правила лан:

IPv4 *    LAN net    *    *    *    *    none        Default allow LAN to any rule

IPv6 *    LAN net    *    *    *    *    none        Default allow LAN IPv6 to any rule

IPv4 TCP    *    5000 - 5010    10.86.33.147    5000 - 5010    *    none

В чем я ошибся?

werter

2)  WAN   TCP    *    *    WAN address    6221    10.86.33.155    21 (FTP)

3)TCP/UDP    *    *    *    5000 - 5010    10.86.33.155    ftppassive - 10

Найдите сами n-отличий в своих же правилах

1. Удаляете это в Port forwarding :

3)TCP/UDP    *    *    *    5000 - 5010    10.86.33.155    ftppassive - 10

2. Удаляете это на WAN :

4

) IPv4 TCP    *    *    10.86.33.155    5000 - 5010    *    none

5. IPv4 TCP/UDP    *    *    10.86.33.155    ftppassive - 10    *    none

3. Удаляете это на LAN :

IPv4 TCP    *    5000 - 5010    10.86.33.147    5000 - 5010    *    none

4. Создаете правило на Port forwarding :

WAN   TCP    *    *    WAN address  5000 - 5010  10.86.33.155    5000 - 5010

5. Проверяете, что появилось соответствующее правило на WAN.

P.s.

Имеем w2012k2 на котором поднят FTP на IIS. В настройках FTP указан внешний IP брандмауэра 62.xx.xx.xx. и порты с 5000-5010.

Не заработает - "заставьте" FTP "слушать" все интерфейсы или только локальный.

3vs

Судя по http://shop.nativepc.ru/content/80-pfsense-7 проброс ftp в pfSense работает только по 21 порту.
Выдержка из документации:
7.8.1.1.2. FTP сервер за NAT
FTP сервер за NAT должен использовать порт 21, т.к. FTP прокси будет запущен только когда указан порт 21.

Сам хотел сделать перенаправление на другой порт, но фигвам.

avec1313

werter, спасибо за помощь.

Удалил все лишние и сделал как предлагалось.

2)  WAN   TCP    *    *    WAN address    6221    10.86.33.155    21 (FTP)

3)TCP/UDP    *    *    *    5000 - 5010    10.86.33.155    ftppassive - 10
Найдите сами n-отличий в своих же правилах

Кроме как 1 это WAN address я не увидел, ведь в аллиасе ftppassive были указаны порты с 5000-5010.

Но к успеху все равно не привело, пробовал проделать тоже самое у же на другом ФТП-нике, результат тот же.

Не могли бы Вы подсказать, у Вас получалось перенаправлять на другой входящий порт? Просто я за послед. два дня нашел очень много подобных мне тем, которые не пришли к решению.

Может быть все таки попробовать рассмотреть вариант, редактирования самого debug.pfftpproxy? Если это выглядит смешно не обращайте внимание. Напомню, что это мой первый опыт работы с юниксами.

werter

@ avec1313

Вы извне пытаетесь проверять работоспособность (т.е. провайдера) ? Или изнутри сети ?
Далее, как насчет fw на вашем FTP - или родного или стороннего ?

Совет  :  поднимите FZ на той же win 7\win xp и проверьте там.

avec1313

@werter:

@ avec1313

Вы извне пытаетесь проверять работоспособность (т.е. провайдера) ? Или изнутри сети ?
Далее, как насчет fw на вашем FTP - или родного или стороннего ?

Совет  :  поднимите FZ на той же win 7\win xp и проверьте там.

Проверка производилась как изнутри, так и извне. Изнутри все работает. Если FW- это firewall, то его я отключал полностью на время тестов. Самое интересное , что до этого FTP-ник работал на TMG 10. И все работало отлично.
Попробую ваш вариант, поднять FZ на 7.  Хотя до этого переключал другой FTP-ник, он был на стороннем софте, но установлен на MS.

Как закончу, напишу….

werter

https://forum.pfsense.org/index.php/topic,46909.0.html

avec1313

Победа!!!

И так последовав совету нашего гуру werter, я накатил  на виртуалке семерочку и поставил FZ server. Все заработало, сдаваться я не привык и это означало, что мне брошен вызов и назад пути уже нет.  ;)  Я поднял ISS и FTP на семерке с отключенным FW и получил тоже самое что и на W2012K2. Означало что все намного глубже и я начал серв по гуглу. Ни одного нормально ответа и подсказки, кроме как на technet. И вот она прелесть наша)))

http://www.iis.net/learn/publish/using-the-ftp-service/configuring-ftp-firewall-settings-in-iis-7#Prerequisites

на одном из скринов я уведел диапозон с 49152 до 65535.

Там же по ссылкам был обнаружено, что

http://support.microsoft.com/kb/174904

диапазон динамических портов жестко ограничен,а до этого я выставлял диапозон с 5000-5010. Ну думаю теперь то понятно все, ставлю с 50000-50010 и получаю все равно БАНАН.

То есть выставив необходимые порты, они либо не доходят до клиента, либо не редиректяться….

Психанул... выставил с 49152 до 65535 и все заработало.

Решил покопаться дальше и обнаружил как изменить это диапазон чертов...

http://support.microsoft.com/kb/929851

Есть одно но, так у меня этот сервер кроме как FTP и RDP не использует, то решил попробовать на для других прошу обратить внимание:

Пользователи Microsoft, которые развертывают серверы под управлением Windows Server 2008 могут возникнуть проблемы с RPC связи между серверами, если брандмауэры используются во внутренней сети. В этих случаях рекомендуется заново настроить брандмауэр, чтобы разрешить трафик между серверами в диапазоне динамических портов от 49152 до 65535.

И начал я это все мучить да пилить и одумался я и пришел свет в мой дом… Блин, а может просто права по таймауту не вошли?? Перезагружаю я сервак и о чудо, с 50000-50010 все работает. Внизу чуть позже выложу мануальчик со скринами, думаю можно тему прикрепить. Так как не раз уже видел безвыходную эту ситуацию)))

werter

@ avec1313

Упорство достойное похвалы  ;D

P.s. За гуру спасибо, но пока не достоин. Далееееко мне еще …

P.p.s. С нетерпением ждем ваших скринов ибо поможет многим.

adm1nb3k

У меня такая же проблема. Скрина нету уже 2 год. Может сделаете мануал. Спасибо.

AlexxxNight

Спасибо, avec1313 за разъяснение! у меня была идентичная ситуация. Но автор этого расследования в конце оставил интригу, а я ее разрушу. Нужно после назначения своего диапазона портов для пассивного ftp ПРОСТО ПЕРЕЗАГРУЗИТЬ МАШИНУ, на которой разворачиваете ftp-сервер.