classic.ISPforum.cz

Dobrý den, potřeboval bych poradit, jak rozchodit FTP za mikrotikem s firewallem. Pravidlo v NAT vytvořené mám, problém je v tom, že když tam ponechám port 21, tak se z interntu na ftp nedostanu (Respektive se tvoří spojení na ftp mikrotiku) .Když port změním např. na 10400, authorizace proběhne, ale při načítání adresářů to vytuhne. Vím že při FTP se používá dvou portů (standartně 20,21). Problém bude nejspíš u toho (20), pro datový přenos. Prosím můžete mi to někdo srozumitelně objasnit? Popřípadě poradit, jak to přesně nastvit? Mnohokrát děkuji

skusal som to tiez tak a zatuhlo to vtedy ked som nepouzil Pasivny mod.. skus to.

Jako klienta používám Total commander a ikdyž jsem ho měl v pasivním módu, bohužel to udělalo to stejné

jo tak to hle jsem taky resil a myslim ze se to resilo i tady. Ale pokud vim tak se nedoslo k zadnymu 100% funkcnimu zaveru.... skoda

Nejdříve je potřeba vypnout FTP mikrotiku v (ip/service) a mít povolený port FTP (firewall/service). Při správně nastaveném src a dst nat to jede v pohodě, sám to používám a jede to na passive i active mód

Leeonek píše:Nejdříve je potřeba vypnout FTP mikrotiku v (ip/service) a mít povolený port FTP (firewall/service). Při správně nastaveném src a dst nat to jede v pohodě, sám to používám a jede to na passive i active mód

tak na tohle mi posli screen a demo k tomu!! Pokud Ti tohle jede, chci vedet jak! Ja si s tim hral cca 3 mesice, nekolik verzi FTP, nekolik verzi MK, klientu apod... Vzdy to vytuhlo na prikazu LIST.thx

Leeonek píše:Nejdříve je potřeba vypnout FTP mikrotiku v (ip/service) a mít povolený port FTP (firewall/service). Při správně nastaveném src a dst nat to jede v pohodě, sám to používám a jede to na passive i active mód

Já už toho taky vyzkoušel spoustu a pořád nic. Mohl by si sem umístit screen těn srcnat a dstnat? Nebo popřípadě něco poslat na ICQ 311-261-578? Děkuji moc..

chain=dstnat in-interface=uplink-xxxx dst-address=213.xxx.xxx.xxx protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.0.15 to-ports=21

zbytek nastavení tak jak sem psal nahoře, ftp klient TotalCMD, verze mk je poněkud starší a to 2.9.12 ale běhalo to stejně i na starším 2.8.28
to o src nat co sem psal byla blbost, dovnitř do sítě stačí jen zápis v dstnat

Leeonek píše:chain=dstnat in-interface=uplink-xxxx dst-address=213.xxx.xxx.xxx protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.0.15 to-ports=21

zbytek nastavení tak jak sem psal nahoře, ftp klient TotalCMD, verze mk je poněkud starší a to 2.9.12 ale běhalo to stejně i na starším 2.8.28
to o src nat co sem psal byla blbost, dovnitř do sítě stačí jen zápis v dstnat

Bohužel jsem to takhle taky zkoušel a nic.
1.vypnuta FTP mikrotiku (ip-services)
2.povolený port FTP (firewall-service). Otázka, může být ponechána prázdná kolonka, nebo je třeba vyplnit číslo portu (21)?
3.NAT je též v pořádku

výsledek: Když tam nechám port 21, tak se vůbec nepřipojím, nejsem tázán ani na login. Když si v NATU změním vnější port, kterým se připojuji na MT, přihlásím se, ale při stahování seznamu to opět vytuhne..

Leeonek píše:chain=dstnat in-interface=uplink-xxxx dst-address=213.xxx.xxx.xxx protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.0.15 to-ports=21

zbytek nastavení tak jak sem psal nahoře, ftp klient TotalCMD, verze mk je poněkud starší a to 2.9.12 ale běhalo to stejně i na starším 2.8.28
to o src nat co sem psal byla blbost, dovnitř do sítě stačí jen zápis v dstnat

heh...pokud dobre ctu, psal jsi, ze Ti to jede na jinych portech nez 21...a co jsi poslal list z configu, tak tam mas 21... ze by ses splet?

sub_zero píše:

Leeonek píše:chain=dstnat in-interface=uplink-xxxx dst-address=213.xxx.xxx.xxx protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.0.15 to-ports=21

zbytek nastavení tak jak sem psal nahoře, ftp klient TotalCMD, verze mk je poněkud starší a to 2.9.12 ale běhalo to stejně i na starším 2.8.28
to o src nat co sem psal byla blbost, dovnitř do sítě stačí jen zápis v dstnat

heh...pokud dobre ctu, psal jsi, ze Ti to jede na jinych portech nez 21...a co jsi poslal list z configu, tak tam mas 21... ze by ses splet?

Tohle jede na sto procent:

add chain=dstnat in-interface=public dst-address=85.85.85.85 protocol=tcp \
dst-port=20-21 action=dst-nat to-addresses=192.168.128.2 to-ports=20-21 \
comment="FTP from PUBLIC" disabled=yes

sub_zero píše:heh...pokud dobre ctu, psal jsi, ze Ti to jede na jinych portech nez 21...a co jsi poslal list z configu, tak tam mas 21... ze by ses splet?

O jiných portech sem nic nepsal, nebo su tak slepý že to nevidím mám tam jen port 21 nic jiného

Leeonek píše:

sub_zero píše:heh...pokud dobre ctu, psal jsi, ze Ti to jede na jinych portech nez 21...a co jsi poslal list z configu, tak tam mas 21... ze by ses splet?

O jiných portech sem nic nepsal, nebo su tak slepý že to nevidím mám tam jen port 21 nic jiného

jasny..uz sem si to precet poradne... zmatl me ten prvni prispevek..ze to zkousel i na jinych portech..sry

Cawec...tak po dlouhem badani, nastavovani, backupovani a obnovovani, reintalaci a instalaci vsech moznych FTP serveru, stale nemam 100% vyhrano. Problem je nasledujici:

FTP Server na lokalni siti. Na MT udelanej dst-nat klasicky na port 21. IP Service FTP disabled. Pomoci TC se tam pripojim pouze v aktivnim rezimu. Tohle bych chapal. Ale je potreba, aby FTP behalo i s webovyho prohlizece (me nevysvetlujte, ze je to nesmysl, proste je takovej pozadavek). Po zadani ftp.neco.cz nebo i IP adresy v logu serveru vidim posledni prikaz connect, prohlizec vytuhne na hlasce "cekam na ftp.neco.cz" a v logu MT vidim, ze se tam ten klient nepripojuje na port 21, nybrz na nahodny porty (napr 2906, 2956 apod), coz samozrejme MT zahodi. Je nesmysl, abych nechaval otevreny na MT vse z venku, tudiz to nechodi. Zajima me, zda se to da nejak resit, bez nutnosti upravovat nejak klientske prohlizece z passiv do aktic rezimu apod, a bez nutnosti hazet primo public IP na rozhrani toho serveru.

Dikec

mmnt, nevidis spise, ze se klient pripojuje z nejakeho portu, nez na ten port? nevim, co bys potom musel mit za ftp clienta, ale nefungoval by pak vubec - to by byla spise takova hricka nahod: zvol si ip adresu, ja si nahodne vyberu port a sluzbu a zkusime, jestli to bude fungovat ... nene, tohle se mi zda byt naprostym nesmyslem