Доступ на ftp сервер из внешней сети

[alexsetkov]

Здравствуйте! Помогите решить проблему. На сервере доступа стоит FTP сервер Serv-U. Поставил на прослушку 250 порт. Прописал его во внешнем и внутреннем интерфейсе. Непосредственно с самого сервера и с локальной сети есть доступ, но нет доступа из внешний сети. Подскажите как решить проблему. Заранее спасибо.

 

[Veda]

а с чего ты решил что должен быть доступ из внешнего мира да ещё и на нестандратный порт?!
С провайдером надо на эту тему общаться

 

[alexsetkov]

А через NAT нельзя обеспечить доступ клиентам из внешней сети к ftp серверу?

 

[Veda]

А через NAT нельзя обеспечить доступ клиентам из внешней сети к ftp серверу?

Можно, другой вопрос как это проще и удобней сделать провайдеру... Обычно в таких случаях просто оплачиваешь внешний IP адрес из пула провайдера и поднимай на этом IP хочешь FTP, хочешь чего ещё, а дальше уже тонкости реализации - либо провайдер делает для тебя static NAT, либо прописываешь на своей машине внешний адрес и тебя без всяких натов во внешний мир выводят... Поэтому я и говорю обсуди с провайдером...

 

[alexsetkov]

Так имеется внешний статический ip. К нему привинчен FTP. Каким образом организовать доступ к нему из инета? С какими вопросами обратиться к провайдеру?

 

[Veda]

Так имеется внешний статический ip. К нему привинчен FTP. Каким образом организовать доступ к нему из инета? С какими вопросами обратиться к провайдеру?

Вопросы к провайдеру
1. Каким образом обслуживается этот IP выданный тебе: пробрасывается во внешний мир через NAT или напрямую маршрутизиться во внешний мир?
2. Какие фильтры и ограничения стоят у провайдера, как то список портов которые они открывают/блокируют к тебе, от тебя?

На тему нестандартного порта для ftp (кстати их надо будет пару) тоже обговори с провайдером, либо они открывают к тебе tcp 20,21, а ты уже сам делаешь мапинг портов на любые нестандартные (но особого смысла в этом не наблюдаю), либо они открывают озвученные тобой порты - тогда есть смысл поднимать FTP на нестандартных портах.

 

[alexsetkov]

Попытаюсь полностью описать существующее положение дел и то что мне требуется: во-первых у нас есть уже статический IP адрес, он на отдельно выделенном сервере на котором установлен Traffic Inspector. Данный сервер выступает в роли интернет шлюза с сетевым экраном. Внутренняя сетка отделена стеной от внешней сети. В стене открыты порты 20, 21 (UDP, TCP). Этот же сервер установлен Serv-U. Так вот с внутренней сети можно попасть на FTP а с внешней нет. Что делать?

 

[Veda]

есть вот такой ресурс

You do not have permission to view link please Вход or Регистрация

там есть инструмент Avail.Services:
вбиваешь туда либо тот самый внешний IP выданный тебе, либо DNS имя сервака и смотришь что он скажет о доступности 21 порта

Еcли 21 порт доступен проблема в настройке либо Traffic Inspector, либо сервака
Если недоступен, как я выше и говорил идёшь и срашиваешь провайдера почему так, если провайдер клянёться и божиться что они не блокируют доступ на 20,21 порты выданного тебе адреса, внимательно изучаешь документацию по Traffic Inspector, а главное логи сканирования 21 порта с вышеуказанного ресурса, дабы понять почему было отказано в доступе на этот порт

 

[alexsetkov]

С провом пообщался, говорит, что никакие порты не блокирует. И вот проблема: с отключенным Traffic Inspector доступа на ftp всё равно нет. Подскажите что делать

 

[Veda]

С провом пообщался, говорит, что никакие порты не блокирует. И вот проблема: с отключенным Traffic Inspector доступа на ftp всё равно нет. Подскажите что делать

Каким образом обслуживается этот внешний IP выданный тебе: пробрасывается во внешний мир через NAT или напрямую маршрутизиться во внешний мир?

Есть такая софтина

You do not have permission to view link please Вход or Регистрация

(не требует установки), запусти и посмотри действительно ли Serv-U слушает 20 и/или 21 порты на внешнем интерфейсе

 

[alexsetkov]

Внешний IP - напрямую без NAT.
При заходе с сервака и с локалки создается соединение с какого-то внешнего порта(допустим 4281) на внутренний 21 и с какого-то списка внешних портов(4282 - ....) на внутренний 20 порт. Из инета коннекта вообще нет.

 

[Veda]

alexsetkov, учитывая вышеизложенную информацию с большой вероятностью можно утверждать что проблемы в настройках вашего ftp сервака или вашей машины, поэтому хочу ещё раз обратить внимание - вам надо проверить на каких локальных ip адресах вашей машины работает Serv-U, возможно он просто не слушает внешний интерфейс, а слушает только интерфейс смотрящий в локальную сеть.

Я верно понимаю что у Вас на машине два ip адреса?
Что значит фраза

При заходе с сервака

, с какого сервака заходят на вашу машину?

 

[alexsetkov]

Пробовал ставить другой ftp - gene6. Настройки ftp сервака смотрел в инете на форумах. Проверял cports: получается, что ftp сервер не слушает внешний интерфейс (не значатся внешние порты и внешний адрес - 0.0.0.0 в списке открытых портов). На машине два ip адреса: внешний и внутренний. FTP сервер работает на локальном ip - 127.0.0.1, но во внутреннем интерфейсе traffic inspector значится 192.168.0.1. (при замене 127.0.0.1 на 192.168.0.1 в настройках сервера, не хочет соединять). Это может быть причиной отсутсвия доступа к ftp?

Хотелось бы еще раз уточнить какие порты внешнего и какие порты внутреннего интерфейса(в сетевом экране ставить ip на котором работает ftp - 127.0.0.1 или который стоит в traffic Inspector - 192.168.0.1?) необходимо открывать в сетевом экране?
Как можно решить проблему того, что ftp не слушает внешний интерфейс?

 

[Veda]

alexsetkov, перечитал несколько раз ваше сообщение, но так толком его и не понял, поэтому по порядку:

Проверял cports: получается, что ftp сервер не слушает внешний интерфейс (не значатся внешние порты и внешний адрес - 0.0.0.0 в списке открытых портов)

с чего Вы решили что сервак не слушает внешний адрес? Внешних портов быть вообще не может, на любом интерфейсе (внешний, внутренний, loopback) порты всегда будут слушаться одни и теже.
В норме сервак должен висеть на локальном адресе 0.0.0.0 (что будет означать что он слушает всё) открыв локально порт 21. Если вместо адреса 0.0.0.0 состояние listening значиться на каком либо адресе (127.0.0.1, 192.168.x.x или ещё что-то) то это не совсем правильно хотя и допустимо, для любых адресов кроме 0.0.0.0 нормальным будет являеться состояние etablished (то-есть установленное от этого адреса соединение).
Далее... адрес 127.0.0.1 - loopback, кольцо обратной связи, всё что работает на этом адресе доступно только локально с той же машины на которой и работает. Адреса вида 192.168.x.x, 172.16.x.x, 10.x.x.x, являются приватными, не маршрутизирующимися в глобальной сети диапазонами адресов, таким образом если все адреса вашей машины представлены только выше перечисленными, то у вас попросту нет прямого выхода в глобальную сеть.

Хотелось бы еще раз уточнить какие порты внешнего и какие порты внутреннего интерфейса(в сетевом экране ставить ip на котором работает ftp - 127.0.0.1 или который стоит в traffic Inspector - 192.168.0.1?) необходимо открывать в сетевом экране?

Порты которые необходимо открыть в фаере для тех интерфейсов (адресов) на которых должен работать FTP сервак: tcp 21 на вход, tcp 20 на выход (в случае активного режима ftp).

Как можно решить проблему того, что ftp не слушает внешний интерфейс?

для начала надо разобраться есть ли этот самый внешний интрефейс (напишите мне, можно в личку, тот адрес который вы подразумеваете как внешний для безопасности неполностью, например так 67.234.x.x), далее будем разбираться слушает/не слушает сервак на этом адресе что-то.

 

[alexsetkov]

Огромное спасибо за помощь. Разобрался со всем. Теперь всё отлично работает!

 

[Veda]

Огромное спасибо за помощь. Разобрался со всем. Теперь всё отлично работает!

ну вот и славненько!
А огромные спасибки в репутацию

, просто спасибки можно и кнопкой

 

[DimoXa]

уважаемый Veda - у меня практически аналогичная проблема! попытаюсь описать условия - вин 2003 сервер, он-же доменконтроллер! установил на него фтп сервер Filezilla из локальной сети доступ есть а вот из инета - просто вводя айпишник в браузер попадаю на веб интерфейс модема (что в принципе логично)
однако вводя адрес формата 77,169,х,х:21 выдаёт сообщение что порт заблокирован по причинам безопасности! на сервере две сетевые карты - одна с адресом формата 192,168,0,х - локальная сеть, другая с адресом формата 192,168,203,х соеденина с роутером. сервер соответственно имеет два ип и фтп сервер доступен по ним обоим! однако при обращении на ип роутера - выдаёт ошибку! переброс портов на роутере настроен (роутер д-линк т500). И ещё один ньюанс - маршрутизация на сервере сделана посредством прокси сервера UserGet (в нём прописан нат) а встроеная служба маршрутизации отключена! огромная просьба помоч разобраться с вопросом!!! Заранее СПАСИБО!

 

[Veda]

DimoXa, выложите ссылку на спецификацию вашего роутера
не совсем по теме, но...

вин 2003 сервер, он-же доменконтроллер! установил на него фтп сервер Filezilla из локальной сети доступ есть а вот из инета

Плохая идея, если такие проблемы с лишней железкой, то хотя бы изучите варю дабы иметь возможность делать несколько логических машин на одной физической железке

а вот из инета - просто вводя айпишник в браузер попадаю на веб интерфейс модема (что в принципе логично)
однако вводя адрес формата 77,169,х,х:21 выдаёт сообщение что порт заблокирован по причинам безопасности!

С веб интерфейсом доступным из внешнего мира - это конечно сильно! Что касаемо сообщения о блокировке по безопасности - документацию по роутеру читали на тему этого сообщения?

И ещё один ньюанс - маршрутизация на сервере сделана посредством прокси сервера UserGet (в нём прописан нат) а встроеная служба маршрутизации отключена!

UserGate наверное конечно хорошая программа, но я бы советовал Вам надосуге поразбираться с возможностями 2003 сервера.

 

[DimoXa]

мануал по роутеру читал - в роутере отключил фаервол. у провайдера спросил - порты неблокируются! по мануалу выложеному вот по этой ссылке

You do not have permission to view link please Вход or Регистрация

- проброс портов делается безпроблем.однако в моём случае идёт блокировка до сервера так как если обратится к адресу 192,168,203,Х - попадаем на фтп без проблем. по поводу вмвары вы имеете ввиду запихнуть на виртуалку доменконтроллер а на вторую просто файловый сервер!?

 

[DimoXa]

возможно с самим модемом проблемы? неподскажите как проверить действительно ли модем порты пробрасывает?

 

[Veda]

возможно с самим модемом проблемы? неподскажите как проверить действительно ли модем порты пробрасывает?

читай сообщение №8

You do not have permission to view link please Вход or Регистрация

вводя адрес формата 77,169,х,х:21 выдаёт сообщение что порт заблокирован по причинам безопасности!

я так понимаю пробрасывается 21 порт с внешнего интерфейса на 21 192.168.203.x
Раз ему не нравиться открытый 21 порт (при том что на 80 реагирует нормально ) на внешнем интерфейсе, пробрось любой другой порт с внешнего интерфейса (например 2100) на 21 порт адреса 192.168.203.x
Кстати если есть возможность убери вообще с внешнего интерфейса любую возможность обращения к WEB интерфейсу роутера, я так понимаю это делается на вкладке Access Control, ну и соответственно закрой остальные возможности доступа к нему из внешнего мира.

по поводу вмвары вы имеете ввиду запихнуть на виртуалку доменконтроллер а на вторую просто файловый сервер!?

как вариант... либо всё что на серваке раскидать по разным виртуалкам и соотвестсвующим образом их разделить между собой тем же UserGate, который оставить на самой машине, либо хотя бы ftp-шник вынести в варю и отгородить его от всего остального, в особенности от usergate Опять же потянет ли всё это железка... Ну это так информацию к размышлению и тема для изучения... Чего точно не стоит делать, так это бежать и сразу ставить варю на "боевой" сервак, сначало вообще поизучай, поиграйся с варей, может VirtualPC, Parallels или ещё чего-нибудь больше приглянуться, либо вообще не захочеться тратить время на их изучение

 

[DimoXa]

Попробовал пробросить другие порты - эфекта ноль! предполагаю что неисправность в модеме - сегодня обьяснил начальству необходимость покупки нового - буду пробовать!

 

[Veda]

Попробовал пробросить другие порты - эфекта ноль! предполагаю что неисправность в модеме - сегодня обьяснил начальству необходимость покупки нового - буду пробовать!

и что выдаёт если стучать на другие порты? Туже ошибку или вообще ничего?

 

[DimoXa]

попробовал и новый модем - эфекта ноль! при обращении на адрес 192,168,203,х нормально заходит а вот при обращении через роутер - порты не перебрасывает в чём тут дело может быть - дело явно не в настройках компа - там всё ок ведь по адресу на который модем перебрасывает доступ открыт и фтп клиен заходит! на новом модеме тоже переброс поставил, даже на нестандартные порты пробую и Ж полная! (крик отчаянья........блин)