Интернет-форум

Вернуться   Интернет в Санкт-Петербурге > Оборудование > Сетевое оборудование

>> Хостинг - 2 Gb-20 Gb, CPanel, SSH, Web Disk, Softaculous, FTP, MySql, SSL сертификат, BackUP
>> VDS от 200 рублей, активация от 1 до 5 минут, OS: Debian, CentOs, Ubuntu, 10-50 Gb защита от DDoS
>> Конструктор сайтов: 198 шаблонов в 22 категориях! SSL, e-commerce, веб-почта, статистика сайта, 50 мб бесплатно!
Сетевое оборудование Обсуждения сетевого оборудования, производители, цены.

 
Опции темы
Старый 17.03.2018, 14:54
  #51
Гуру
 
Аватар для Haruhi

Цитата:
Сообщение от pindos
На всех роутерах всегда пробрасывал внешний порт на 21 порт нужного внутреннего адреса и все при этом работало без проблем.
Я не знаю, как вам объяснить, что FTP использует много портов, а не только 21.

Я не знаю, как вам объяснить, что в изначальном режиме (активном) FTP сервер для передачи данных (списка файлов и самих файлов) подключается на IP/порт клиента.

Я не знаю, как вам объяснить, что в пассивном режиме (разработанном для клиентов за NAT) для передачи данных (списка файлов и самих файлов) клиент подключается на сообщенный ему сервером на основном порту (обычно 21) адрес и порт (обычно из диапазона выше 10000).

Я не знаю, как вам объяснить, что, если у вас FTP сервер работает за NAT, по умолчанию он шлет клиенту абсолютно случайные порты и свой адрес локальной сети, и тот пытается подключиться к, например, 192.186.0.2 порт 62060.

Я не знаю, как вам объяснить, что обычно эта проблема решается, как я написала выше, указанием в настройках FTP сервера диапазона портов и внешнего IP, и проброса этих портов с NAT на внутренний адрес клиента.

Я не знаю, как вам объяснить, что в заводских прошивках по умолчанию включается ip_conntrack_ftp, который занимается переписыванием на лету адресов и портов в FTP-пакетах, заменяя внутренний адрес и случайный порт на внешний адрес и некий внешний порт, который динамически пробрасывается на только что подмененный внутренний.

добавлено через 8 минут
Сценарий без ip_conntrack_ftp и без проброса пассивных портов:

Клиент подключается к серверу в пассивном режиме, подключаясь к ext_ip:21.
Клиент: у меня пассивный режим, дайте список файлов.
NAT-роутер: (молча меняет адрес с ext_ip на 192.168.0.2 и швыряет пакет дальше)
Сервер: хорошо, слушаю вас на IP 192.168.0.2:60226…
NAT-роутер: (молча пересылает ответ)
Клиент получает ответ: «слушаю вас на IP 192.168.0.2:60226»
Клиент подключается к 192.168.0.2:60226 в своей сети. Там, конечно, ничего нет. Connection refused.

Сценарий без ip_conntrack_ftp и с пробросом портов + указанием внешнего адреса в настройках пассивного режима FTP сервера:

Клиент подключается к серверу в пассивном режиме, подключаясь к ext_ip:21.
Клиент: у меня пассивный режим, дайте список файлов.
NAT-роутер: (молча меняет адрес с ext_ip на 192.168.0.2 и швыряет пакет дальше)
Сервер: хорошо, слушаю вас на IP ext_ip:60226…
NAT-роутер: переписывает содержимое пакета)
Клиент получает ответ: «слушаю вас на IP ext_ip:60226»
Клиент подключается к ext_ip:60226.
NAT-роутер: (молча меняет адрес с ext_ip на 192.168.0.2 и швыряет пакет дальше)
Сервер: (отдает список файлов)

Сценарий с ip_conntrack_ftp:

Клиент подключается к серверу в пассивном режиме, подключаясь к ext_ip:21.
Клиент: у меня пассивный режим, дайте список файлов.
NAT-роутер: (молча меняет адрес с ext_ip на 192.168.0.2 и швыряет пакет дальше)
Сервер: хорошо, слушаю вас на IP 192.168.0.2:60226…
NAT-роутер: …тайм-аут! (переписывает содержимое пакета)
Клиент получает ответ: «слушаю вас на IP ext_ip:30766»
Клиент подключается к ext_ip:30766.
NAT-роутер: (молча меняет адрес назначения пакета на 192.168.0.2, а порт — на 60226)
Сервер: (отдает список файлов)

добавлено через 9 минут
Дополню: FTP и FTPS разрабатывались для сетей без NAT и без злобных хакеров. Они безнадежно устарели.

Используйте SCP/SFTP.

Последний раз редактировалось Haruhi; 17.03.2018 в 14:54.. Причина: Добавлено сообщение
Haruhi вне форума   Ответить с цитированием
Старый 17.03.2018, 15:18
  #52
Долгожитель
 
Аватар для pindos

Haruhi,
Спасибо за такой подробнейший ответ. Я, конечно, не просил мне все это объяснять. У меня лет десять висит ftp, и никогда не заморачивался пробросом или настройкой дополнительных портов для пассивного режима. Всегда из коробки работала схема: ext_iport - int_ip:21.

Меня больше интересует вопрос: нет ли в LEDE лога работы файерволла, где ясно видно кто, откуда и куда подключался?
pindos вне форума   Ответить с цитированием
Старый 17.03.2018, 15:35
  #53
Гуру
 
Аватар для Haruhi

Цитата:
Сообщение от pindos
нет ли в LEDE лога работы файерволла, где ясно видно кто, откуда и куда подключался?
По умолчанию — нет (поскольку это огромные объемы данных, которые хранить бессмысленно и негде). Есть возможность вести журнал отвергаемых соединений (в настройках зоны).

Теоретически можно сделать свой журнал и добавить -j LOG в нужные правила файрволла.
Haruhi вне форума   Ответить с цитированием
Старый 17.03.2018, 15:39
  #54
Долгожитель
 
Аватар для pindos

Понятно, спасибо. Привык, что в USG50 все отображается.
pindos вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 17:31.


DSLnet.ru © 2004-2012. Все права защищены.
vBulletin® Version 3.8.2 Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Rambler's Top100 Рейтинг@Mail.ru