Nastaveni Mikrotiku pro FTP server v LAN

[polo]

Ahoj,
hledam na googlu uz nejakou tu hodinu a nic poradneho jsme nenasel. Na tomto foru jsem nasel jen http://ispforum.cz/viewtopic.php?f=5&t=1521&p=8907 kde se dohaduje banda lidi o tom jak nastavit Mikrotik pro FTP v LAN. Cast problemu je resena pres ICQ a dalsi "profi" zpusoby.

Prejdu tedy rovnou k veci. Muj problem je jednoduchy. Mam v LAN FTP server a potrebuju se na nej dostat z venku v pasivnim rezimu. Zapojeni je nasledujici:

INTERNET ----> Mikrotik (verejna IP)----->FTP server(ProFTPd) v LAN (privatni IP) v conf. souboru ftp serveru je directiva: "PassivePorts 3000 3100"

Potrebuju poradit jak nastavit FW a popripade NAT "elegantnim" zpusobem. Co tim myslim?
Dokazu nastavit Mikrotik tak aby mi spojeni fungovalo, ale jen tak ze akceptuju na FW porty 3000 - 3100. Na DST-NAT nastavim presmerovani techto portu do LAN na FTP server a vse jede jak ma.

Protoze je ale mikrotik stavovy FW mel by se dokazat obejit i bez vyse zmineneho nastaveni... Melo by tam jit nastavit sledovani komunikace FTP po portu 21 -> tam FTP server rekne na ktere porty se ma klient pripojit (mluvim ted o pasive rezimu) a router by mu je mel dynamicky otevrit. To je to v cem potrebuju poradit. Zkousel jsem vselijake kombinace ale nepovedlo se mi to nastavit. Nastavuji to ve winboxu ale CLI se nebranim. Posilam nekolik screenu s mym nastavenim. Predem se omlovam pokud jsem neuvedl neco podstatne pro reseni meho problemu.
Diy za kazdne nasmerovani.

http://img8.imageshack.us/img8/8955/obrazovkah.png
http://img718.imageshack.us/img718/1826/obrazovka1.png
http://img838.imageshack.us/img838/246/obrazovka2.png
http://img232.imageshack.us/img232/7031/obrazovka3.png

[hocimin1]

a mas v IP/services vypnuto FTP ?

[Repkins]

Tak nějak přemýšlím, co vlastně pořád s tím FTP serverem řešíte.... Možná mám já něco špatně a přiznávám, že nejsem xpert, ale jediné, co jsem na routeru který dělá bránu do netu nastavil, je dstNAT portu 20/21 z WAN interface na privátku, na které sedí FTP server. Na tom routeru mám i v IP/Services normálně zapnuto FTP a vše šlape perfektně. Ten dstNAT z WAN interface mě zajístí to, že když se z venku na veřejnou IP routeru připojuju přes FTP, tak mě to přesměruje na FTP server, když se tam připojuju z vnitřní sítě přes privátku na LAN interface, tak mě to spojí s tím routerem a můžu si tam cpát novej firmwáre. Předpokladem je, že se nedropují na tom WAN interface žádné potřebné porty nějakým filtrem.

[polo]

V IP-services mam FTP vypnute.
Co se tyka toho meho FTP...

Kdyz se na nej prihlasim z venku tak me to samozrejme pripoji...zadam jmeno a heslo. Kdyz ale napr. udelam vypis adresaru tak ho to nevypise pac je navazano jen ridici spojeni na portu 21. Dodavam ze se pripojuji v pasive modu. Tzn ftp server oznami klientovi na ktery port se ma pripojit. No a problem je v tom ze klient se na nej nepripoji pac neni povoleny na Mikrotiku.

Ten Mikrotik by mel mit funkci diky ktere by bylo mozno sledovat komunikace ftp serveru s klientem na ridicim spojeni (port 21). Diky tomu by se dozvedel ze FTP server rika klientovi ze datove spojeni bude na portu xy a Mikrotik by tento port mel otevrit po dobu kdy spolu budou ftp server a klient komunikovat.
Snad jsem vysvetlil dostatecne o co mi jde.

[Repkins]

Fakt nevim. Mě to chodí v pasiv modu jak z FTP klienta (používám BulletProof klient) tak i z Firefox browseru. Přihlásím se, načte se obsah složek na serveru, můžu procházet, stahovat.. Nastavení routeru je takový , jak jsem popsal. Krom nějakých filtrů na červy, útoků na router a jinou havěť na routeru nic nedropuju, je tam pouze maškaráda. Jako FTP server mám BulletProof Server, běží to pod Woknama. Ve firewálu na serveru povolen opět jen 20/21 (samozřejmě jen v příchozím směru, odchozí provoz ze serveru nijak neomezuju).

[hapi]

používám taky proftpd a jede mi to. Mám otázku. Může volně ten server s ftp serverem do netu? Už je to dlouho co jsem ftp protokol studoval protože je prakticky hovadsky udělanej ale mohlo by to mít vliv.

Mimochodem, měl by si mít dst-natovaný 20 a 21 port a ne jenom 21. Nastavení nějakýho pasivního režimu jsem neřešil.

[polo]

To hapi: Jak to myslis jestli muze do netu? Reknu to jinak... Kdokoliv z netu(z venku) muze na nej. Na FTP se prihlasis... ale kdyz chces vypsat adresare tak to nejde pac k tomu je potreba datove spojeni. V aktivnim rezimu je to tebou zminovany port 20. V pasivnim ktery se pouziva v pripade ze klient pripojujici se na FTP server je za na NAT a nebo FW coz je drtiva vetsina si FTP voli datove porty dynamicky. Na mikrotiku se nic s pasivnim rezimem neresi. Jde o tom zda mikrotik umi neco jako linux firewall iptables tzv. conntrack. Dokaze vycist z komunikace na portu 21 jake porty byly zvoleny pro prenos dat...
Snad jsem to napsal dost srozumitelne:)

[hapi]

no, jestli má komunikovat pasivně na jiných portech tam se musí ftp server dostat do netu sám tedy že můžu plně do netu bez nějakých dropů ve firewallu na bráně. Tak či tak, já se dostanu na proftpd skrz 20-21 port i skrz nat u klienta z cizí sítě takže mě to funguje aktivně.