Проблема с пробросом портов
-
Добрый день! Помогите пожалуйста с проблемой! В организации стоит сервак, на нем крутится FTP сервер(TYPSoft FTP Server Version 1.10). Заведен один пользователь. Есть 20 клиентов у которых 1с обменивается через этот FTP. Все работало несколько лет без косяков, стоял Zyxel на нем был настроен проброс портов (порт стандартный 21). Много читал про pfsense и когда Zyxel сдох решил перейти на pfsense. Настроил, установил, настроил проброс портов для ftp(внешний адрес белый), в первый же день появилась проблема, из 20 клиентов 5 не могут достучаться до FTP. Вернее достучаться могут, но после авторизации происходит дисконект. В логах FTP сервера толком ничего нет. Причем 15 клиентов первый день работали без проблем, на второй день еще пара клиентов перестала попадать на FTP. Перестал ходить не только 1с, но и через браузер тоже не пускает. Если не правильно вводишь пароль в логах сервера появляется ошибка авторизации, пробовал перенести FTP на другой сервер, пробовал менять порты, заводил нового пользователя на фтп, пересоздавал правило проблема остается. Поднял OpenVPN после соединения через vpn, все работает по локальному ip. Думал всех клиентов загнать в VPN, но! В настройках OpenVPN сервера галочка не стоит чтобы клиенты общались между собой, а клиенты видят друг друга, что для меня не желательно т.к. тёти очень любят в интернете искать шифровальщиков за последний год 4 раза, причем 2 раза шифровальщик сканировал всю подсеть и ломился на все компы в подсети. Может кто сталкивался с проблемой в пробросе портов, подскажите куда копать!
-
@Kozyreckiyds проброса 21 порта может оказаться недостаточно. У вашего TYPSoft FTP Server есть в возможность задать порты для passive mode? Если да - задайте эти порты, а в pfSense организуйте для них port forward.
Для Filezilla это выглядит так:
Цитата :
Use custom PASV settings if you are operating the server from behind a NAT router or a firewall. In that case, the IP address of the server is not accessible from outside of the router, so you should fill in the correct address here. Use the port range to limit the number of ports that will need to be forwarded through the router.@Kozyreckiyds said in Проблема с пробросом портов:
Все работало несколько лет без косяков, стоял Zyxel на нем был настроен проброс портов (порт стандартный 21
Почему оно работало в Zyxel? Для FTP в нем был задействован ALG.
https://ru.wikipedia.org/wiki/Application-level_gateway -
Спасибо, за совет. Попробую. я просто не могу понять почему у большинства клиентов проблем нет. Настройки ведь одинаковы для всех!
-
@Kozyreckiyds Погуглите про работу FTP за NAT.
@Kozyreckiyds said in Проблема с пробросом портов:
почему у большинства клиентов проблем нет
Зависит и от того, как клиент выходит в инет. Многих провайдер выпускает через свой NAT, получается двойной NAT - домашний роутер + провайдер.
-
@pigbrother
20 портов для passive - мало. Если не ошибаюсь, там не менее 2-х портов на клиента приходится. Я к тому , что ТС за вами настройки на своем ФТП повторит.т.к. тёти очень любят в интернете искать шифровальщиков за последний год 4 раза, причем 2 раза шифровальщик сканировал всю подсеть и ломился на все компы в подсети.
А не надо давать права локального адм-ра пользователям. В приличных местах за такое увольняют (и правильно делают). У меня и на домашних машинах нет прав адм-ра. Плюс резервное копирование важных файлов ВО ВНЕ спасает.
-
@werter said in Проблема с пробросом портов:
Я к тому , что ТС за вами настройки на своем ФТП повторит.
Картинка из Интернета. Просто как иллюстрация.
@werter said in Проблема с пробросом портов:
А не надо давать права локального адм-ра пользователям
Согласен. Атаку по сети сильно затруднит.
На локальном ПК что мешает шифровальщику без админ. прав установится в папку в профиле пользователя и зашифровать его документы? Системные файлы\программы шифровать смысла нет.@werter said in Проблема с пробросом портов:
Плюс резервное копирование важных файлов ВО ВНЕ спасает.
Полностью поддерживаю.
-
Добрый.
@pigbrother said in Проблема с пробросом портов:
На локальном ПК что мешает шифровальщику без админ. прав установится в папку в профиле пользователя и зашифровать его документы?
Не хранить важное в папке профиля - как минимум хранить на др. локальном диске и настроить Теневое копирование (англ. Volume Shadow Copy) на этом диске. Сам был свидетелем как шифровальщик "пытался" удалить теневые копии не имея прав локального Адм-ра.
Про внешние копии важного я уже писал.