URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16214
[ Назад ]

Исходное сообщение
"FTP все как по учебнику и нифига"
Отправлено zavhoz84 , 07-Май-08 14:15

Люди добрые, скажите, что не так вроде руки не совсем из з... растут.
Все как по учебнику делаю и нифига...
Есть роутер, int Faste0 смотрит в интернет c IP aaa.aaa.aaa.aaa, int Faste1 смотрит в локальную сеть с 192.168.0.200
Настроен NAT соответственно
int Faste0
ip nat outside
int faste1
ip nat inside
в локальной сети есть фтп сервер на базе Serv-U и имеет внутренний IP адресс 192.168.0.111 фтп сидит на стандартном 21 порте в активном режиме.
по внутренней сети я спокойно коннектюсь, из интернета хрен.
Уже и все возможные access-list делал перепробовал кажись все варианты:
access-list 101 permit tcp any host 192.168.0.111 eq ftp
access-list 101 permit tcp any host 192.168.0.111 eq ftp-data
access-list 111 permit ip any host 192.168.0.111
access-list 111 permit ip host 192.168.0.111 any
naccess-list 191 permit tcp host 192.168.0.111 any eq ftp
access-list 191 permit tcp host 192.168.0.111 any eq ftp-data
Уже и трансляцию делал:
ip nat inside source static tcp 192.168.0.111 21 aaa.aaa.aaa.aaa 21
ip nat inside source static tcp 192.168.0.111 20 aaa.aaa.aaa.aaa 20
как сделать так, чтобы при наборе в браузере ftp:\\aaa.aaa.aaa.aaa заходил на фтп сервер ?
уже 5-е сутки бьюсь по всем форумам облазил этой теме нифига не посвящено...
Заранее благодарю...

Содержание

FTP все как по учебнику и нифига,bmonk, 15:20 , 07-Май-08
- FTP все как по учебнику и нифига,zavhoz84, 16:11 , 07-Май-08
  - FTP все как по учебнику и нифига,zavhoz84, 16:20 , 07-Май-08
    - FTP все как по учебнику и нифига,bmonk, 16:40 , 07-Май-08
      - FTP все как по учебнику и нифига,zavhoz84, 16:54 , 07-Май-08
        
        FTP все как по учебнику и нифига,ВОЛКА, 17:19 , 07-Май-08
        
        FTP все как по учебнику и нифига,bmonk, 18:17 , 07-Май-08
        
        FTP все как по учебнику и нифига,bdg, 11:49 , 08-Май-08
        FTP все как по учебнику и нифига,bmonk, 12:08 , 08-Май-08
        
        FTP все как по учебнику и нифига,bdg, 12:12 , 08-Май-08
        
        FTP все как по учебнику и нифига,bdg, 13:47 , 08-Май-08
        
        FTP все как по учебнику и нифига,zavhoz84, 19:24 , 12-Май-08
        
        FTP все как по учебнику и нифига,CrAzOiD, 23:42 , 12-Май-08

Сообщения в этом обсуждении

"FTP все как по учебнику и нифига"
Отправлено bmonk , 07-Май-08 15:20

>[оверквотинг удален]
>ip nat inside source static tcp 192.168.0.111 21 aaa.aaa.aaa.aaa 21
>ip nat inside source static tcp 192.168.0.111 20 aaa.aaa.aaa.aaa 20
>
>как сделать так, чтобы при наборе в браузере ftp:\\aaa.aaa.aaa.aaa заходил на фтп
>сервер ?
>
>уже 5-е сутки бьюсь по всем форумам облазил этой теме нифига не
>посвящено...
>
>Заранее благодарю...
ИМХО должно работать
попробуй для начала проверить с удаленного компа сделать
telnet a.a.a.a 21
если сразу не вышибит значит порт открыт
соответственно надо смотреть стадию авторизации
а еще есть вариант что у тебя снаружи доступ всем закрыт,
смотрите ACL для чистоты эксперимента луче все acl для начала забанить

"FTP все как по учебнику и нифига"
Отправлено zavhoz84 , 07-Май-08 16:11

>ИМХО должно работать
>попробуй для начала проверить с удаленного компа сделать
>telnet a.a.a.a 21
>если сразу не вышибит значит порт открыт
>соответственно надо смотреть стадию авторизации
>
>а еще есть вариант что у тебя снаружи доступ всем закрыт,
>смотрите ACL для чистоты эксперимента луче все acl для начала забанить
Проверил, доступа нет, порт закрыт хммм... такс щас убил все ACL завожу по новой:
ip nat inside source static tcp 192.168.0.111 20 a.a.a.a 20 extendable
ip nat inside source static tcp 192.168.0.111 21 a.a.a.a 21 extendable
access-list 101 permit tcp host 192.168.0.111 any eq ftp
access-list 101 permit tcp host 192.168.0.111 any eq ftp-data

"FTP все как по учебнику и нифига"
Отправлено zavhoz84 , 07-Май-08 16:20

>[оверквотинг удален]
>>смотрите ACL для чистоты эксперимента луче все acl для начала забанить
>
>Проверил, доступа нет, порт закрыт хммм... такс щас убил все ACL завожу
>по новой:
>
>ip nat inside source static tcp 192.168.0.111 20 a.a.a.a 20 extendable
>ip nat inside source static tcp 192.168.0.111 21 a.a.a.a 21 extendable
>
>access-list 101 permit tcp host 192.168.0.111 any eq ftp
>access-list 101 permit tcp host 192.168.0.111 any eq ftp-data
Не нифига все равно не работает, а порт так и не открылся, странно, почему так может это прописать:
ip nat service list 10 ftp tcp port 20
ip nat service list 10 ftp tcp port 21
access-list 10 permit 192.168.0.111
Та же фигня хммм и вот так 5-ый день, проверял на D-link может у мну сервер корявый - нет все нормуль, благо там FTP через NAT за 2 секунды настраивается:)

"FTP все как по учебнику и нифига"
Отправлено bmonk , 07-Май-08 16:40

надо конф смотреть, внешне вроде все как у меня а там... ХЗ
я вот уже 2 недели бъюсь на впн-клиентом
тоже вроде все как по учебнику но ... не работает собака

"FTP все как по учебнику и нифига"
Отправлено zavhoz84 , 07-Май-08 16:54

>надо конф смотреть, внешне вроде все как у меня а там... ХЗ
Ну конф -это святое я кстати тоже на след неделе начну ВПН делать:) тока софт пропатсу:)
Текущая конфа проста до безумия, кису купили тока на прошлой неделе, тока начал настраивать:) Еще повешу Netflow на нее:)
version 12.4
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
interface FastEthernet0
description to_inet $ETH-WAN$
ip address a.a.a.126 255.255.255.252
ip nat outside
speed 100
full-duplex
!
interface FastEthernet1
description to_local
ip address 192.168.0.200 255.255.255.0
ip nat inside
!
ip route 0.0.0.0 0.0.0.0 a.a.a.125
!
ip http server
ip nat service list 10 ftp tcp port 20
ip nat service list 10 ftp tcp port 21
ip nat inside source list 1 interface FastEthernet0 overload
ip nat inside source static tcp 192.168.0.111 20 a.a.a.126 20 extendable
ip nat inside source static tcp 192.168.0.111 21 a.a.a.126 21 extendable
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 10 permit 192.168.0.111
access-list 101 permit tcp host 192.168.0.111 any eq ftp
access-list 101 permit tcp host 192.168.0.111 any eq ftp-data
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
end

"FTP все как по учебнику и нифига"
Отправлено ВОЛКА , 07-Май-08 17:19

R1(config)#ip nat inside source static tcp 192.168.0.111 25 ?
  A.B.C.D    Inside global IP address
  interface  Specify interface for global address
укажите нитерфейс,  a не адрес...

"FTP все как по учебнику и нифига"
Отправлено bmonk , 07-Май-08 18:17

>R1(config)#ip nat inside source static tcp 192.168.0.111 25 ?
>  A.B.C.D    Inside global IP address
>  interface  Specify interface for global address
>
>укажите нитерфейс,  a не адрес...
в моем случае указаны именно адреса

"FTP все как по учебнику и нифига"
Отправлено bdg , 08-Май-08 11:49

>[оверквотинг удален]
>ip nat service list 10 ftp tcp port 21
>ip nat inside source list 1 interface FastEthernet0 overload
>ip nat inside source static tcp 192.168.0.111 20 a.a.a.126 20 extendable
>ip nat inside source static tcp 192.168.0.111 21 a.a.a.126 21 extendable
>!
>access-list 1 permit 192.168.0.0 0.0.0.255
>access-list 10 permit 192.168.0.111
>access-list 101 permit tcp host 192.168.0.111 any eq ftp
>access-list 101 permit tcp host 192.168.0.111 any eq ftp-data
>!
Может для начала убрать все аксесс листы и оставить только
ip nat inside source static tcp <localaddr> <localport> <globaladdr> <globalport>
и ничего больше, т.е.
ip nat inside source list 1 interface FastEthernet0 overload
ip nat inside source static tcp 192.168.0.111 20 a.a.a.126 20 extendable
ip nat inside source static tcp 192.168.0.111 21 a.a.a.126 21 extendable
Вообще ftp имеет активный и пассивный режим работы:
при активном FTP сервер открывает исходящее подключение с 20 порта к клиенту, на порт указанный клиентом в команде Port
При пассивном клиент подключается на 21 порт, после подключается на сообщенные и выделенные сервером порты для пассивного режима

"FTP все как по учебнику и нифига"
Отправлено bmonk , 08-Май-08 12:08

в данной конфе вобще не вижу смысла в аксесс листах
особенно в 1 и в 10

"FTP все как по учебнику и нифига"
Отправлено bdg , 08-Май-08 12:12

>в данной конфе вобще не вижу смысла в аксесс листах
>особенно в 1 и в 10
аксесс лист 1 нужен, иначе PAT работать не будет

"FTP все как по учебнику и нифига"
Отправлено bdg , 08-Май-08 13:47

>>в данной конфе вобще не вижу смысла в аксесс листах
>>особенно в 1 и в 10
>
>аксесс лист 1 нужен, иначе PAT работать не будет
Решил прям эксперемент провести
ip nat inside source static udp 192.168.2.7 69 ххх.ххх.ххх.136 69 extendable
работает !

"FTP все как по учебнику и нифига"
Отправлено zavhoz84 , 12-Май-08 19:24

Ну что могу сказать, заработало, правда, осталось неясным, почему когда я из локальной сети пытаюсь набрать ftp:\\a.a.a.126 мне говорит что доступа нет...
а снаружи я могу войти без проблем...
В чем проблема?

"FTP все как по учебнику и нифига"
Отправлено CrAzOiD , 12-Май-08 23:42

>Ну что могу сказать, заработало, правда, осталось неясным, почему когда я из
>локальной сети пытаюсь набрать ftp:\\a.a.a.126 мне говорит что доступа нет...
>
>а снаружи я могу войти без проблем...
>
>В чем проблема?
потому что покажите мне этот адрес в локальной сети
нет его, он виртуальный, на него отвечает циска согласно правилам трансляции которые ва настроили
в локальной сети ходите по локальному адресу