faq обучение настройка
Текущее время: Вт сен 24, 2019 12:48

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
 Заголовок сообщения: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пт дек 16, 2016 15:29 
Не в сети

Зарегистрирован: Ср авг 01, 2007 16:17
Сообщений: 157
HELP!!!

Прошу помощи!

Есть win2012. На нем настроен IIS с FTP. Пытаюсь опубликовать его наружу через DFL со статикой на wan порту с возможностью записи с использованием passive ftp и это НЕ РАБОТАЕТ.
При том что из локальной сети FTP нормально работает.

На DFL два правила:
1  wan-core  SAT  wan   Ftp-allowed-ipsMembers  core   wan_ipAddress: 94.28.X.X  FTP-IN Destination ports: 21
2  wan-core  Allow  wan   Ftp-allowed-ipsMembers  core   wan_ipAddress: 94.28.X.X  FTP-IN Destination ports: 21

Без FTP-ALG клиент говорит "The server returned invalid response for PASV command"
При любых FTP-ALG - все доступно на чтение, а при записи
-> STOR /LICENCE
<- 550 Access is denied.

для FTP-IN выбирал все возможные FTP-ALG фильтры - ничто не работает - Access is denied.

Более того, все то же самое, но на DFL-210 работает. с FTP-ALG ftp-inbound

HELP!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пт дек 16, 2016 15:32 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7173
Откуда: Екатеринбург
проще всего использовать существующий сервис ftp-inbound

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пт дек 16, 2016 16:05 
Не в сети

Зарегистрирован: Ср авг 01, 2007 16:17
Сообщений: 157
Да, но с ним не работает.

Сейчас посмотрел. Такая же связка но с dfl260+FTP@win2008 тоже работоспособна

в чем может быть подвох?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пт дек 16, 2016 17:18 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
сравнивайте FTP-ALG ftp-inbound на обоих железках.
где-то есть отличия

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пт дек 16, 2016 17:33 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
Кстати, можно на 10.22.01 накатить.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пт дек 16, 2016 21:44 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7173
Откуда: Екатеринбург
сделайте правила проброса с рекомендованным сервисом ftp-inbound выше всех остальных папок и правил.

Чудес в этом вопросе почти не бывает.

MTRX писал(а):
Кстати, можно на 10.22.01 накатить.
Это само по себе тоже полезно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пн дек 19, 2016 04:23 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 581
для работы с алг надо три правила, см. руководство, там есть пример (доп. правило вроде: источник - тот же, назначение - core, action -nat)
или не используйте алг, тогда будет работать при простом SAT

в винде, в настройках фтп сервера, IP для пассивного режима нигде отдельно не должен быть прописан? (на некоторых фтп серверах бывает надо прописывать)
по пробуйте подключится в активном режиме


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пн дек 19, 2016 07:37 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 581
june8807 писал(а):
При любых FTP-ALG - все доступно на чтение, а при записи
-> STOR /LICENCE
<- 550 Access is denied.

так это уже в правах пользователя ftp проблемы


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: FTP(iis)@Win2012 publish DFL-260e 2.40.04.08 passive ALG
СообщениеДобавлено: Пн дек 19, 2016 12:43 
Не в сети

Зарегистрирован: Ср авг 01, 2007 16:17
Сообщений: 157
Огромное спасибо всем откликнувшимся. действительно, видимо, сложность добавляет еще и мой прокси.
Без него - т.е. при прямом доступе в сеть dfl публикуем win2012 ftp с ftp-inbound ALG работоспособно.

Однако, утверждение по dfl-210 остается справледиво. с ним то работает из-под моего прокси )

P.S. а вот без ALG оно совмем не работает.... Даже если в win 2012 ftp в пописывать внешний адрес в "External IP Address of Firewall"


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB