Повторяюсь

При запросе на 21 порт внешнего интефейса роутера , происходит порт маппинг на 21 порт DNS-323 . Для всего остального открыт 20 порт (маппится туда же )
Коллеги... ежели б не работало , я бы не писал ... проверенно

Мы это все знаем. Только вот 20 порт работает только для активного режима FTP, а не для пассивного. И у меня подозрение, что Вы-таки соединялись в активном режиме. Логи можно показать с FTP-клиента?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Более чем уверен, что в активном. В активном и у меня коннектилось. Задача была настроить пассивный режим и анонимный доступ.
А вот зачем настроен форвардинг на 20 порт, я не понял. Фтп сервер в активном режиме использует 21 порт для входа и 20 для выхода. Достаточно перенаправить 21 порт в роутере, а на выход почти все роутеры выпускают всех независимо от порта. Для пробы закрой 20 порт, то же самое будет.

_________________
http://kostasoft.com - Наш софт!

Как скажете-
----------
Connect to: (16.03.2008 11:06:24)
hostname=anddi.winlink.ru
username=*****************
startdir=
anddi.winlink.ru=84.52.121.137
220---------- Welcome to Pure-FTPd ----------
220-You are user number 2 of 10 allowed.
220-Local time is now 11:06. Server port: 21.
220 You will be disconnected after 10 minutes of inactivity.
USER *************
331 User ********* OK. Password required
PASS ***********
230 OK. Current restricted directory is /
SYST
215 UNIX Type: L8
FEAT
211-Extensions supported:
EPRT
IDLE
MDTM
SIZE
REST STREAM
MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
MLSD
TVFS
ESTP
PASV
EPSV
SPSV
ESTA
211 End.
Connect ok!
PWD
257 "/" is your current location
Чтение каталога...
TYPE A
200 TYPE is now ASCII
PASV
227 Entering Passive Mode (84,52,121,137,195,80)
LIST
150 Accepted data connection
Загрузка
Жду ответа сервера...
226-Options: -l
226 6 matches total
TYPE I
200 TYPE is now 8-bit binary
PASV
227 Entering Passive Mode (84,52,121,137,195,81)
RETR New Text Document.txt
150 Accepted data connection
Загрузка
Жду ответа сервера...
226-File successfully transferred
226 0.011 seconds (measured here), 1.82 Kbytes per second
Copied (16.03.2008 11:06:52): ftp://anddi.winlink.ru//New Text Document.txt -> D:\New Text Document.txt 21 bytes, 1.0 kbytes/s
PASV
227 Entering Passive Mode (84,52,121,137,195,82)
STOR IMG_8168_1.jpg
150 Accepted data connection
Закачка
226-File successfully transferred
226 7.471 seconds (measured here), 64.32 Kbytes per second
Copied (16.03.2008 11:07:40): D:\FTP\Cipin\IMG_8168_1.jpg -> ftp://anddi.winlink.ru/IMG_8168_1.jpg 492 130 bytes, 64.5 kbytes/s
Чтение каталога...
TYPE A
200 TYPE is now ASCII
PASV
227 Entering Passive Mode (84,52,121,137,195,83)
LIST
150 Accepted data connection
Загрузка
Жду ответа сервера...
226-Options: -l
226 7 matches total
QUIT
221-Goodbye. You uploaded 481 and downloaded 1 kbytes.
221 Logout.

Но про анонимный доступ я ничего не говорил...
Хотя.. попробую , отпишу

Говорю-Отписываю
Работает ...
Я не знаю , что я не так делаю , но оно прекрасно пашет под анонимусом
Вот лог из тотала-
----------
Connect to: (16.03.2008 13:04:25)
hostname=anddi.winlink.ru
username=anonymous
startdir=
anddi.winlink.ru=84.52.121.137
220---------- Welcome to Pure-FTPd ----------
220-You are user number 1 of 10 allowed.
220-Local time is now 13:04. Server port: 21.
220 You will be disconnected after 10 minutes of inactivity.
USER anonymous
230 Anonymous user logged in
SYST
215 UNIX Type: L8
FEAT
211-Extensions supported:
EPRT
IDLE
MDTM
SIZE
REST STREAM
MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
MLSD
TVFS
ESTP
PASV
EPSV
SPSV
ESTA
211 End.
Connect ok!
PWD
257 "/" is your current location
Чтение каталога...
TYPE A
200 TYPE is now ASCII
PASV
227 Entering Passive Mode (84,52,121,137,195,90)
LIST
150 Accepted data connection
Загрузка
Жду ответа сервера...
226-Options: -l
226 8 matches total
TYPE I
200 TYPE is now 8-bit binary
PASV
227 Entering Passive Mode (84,52,121,137,195,91)
RETR New Text Document.txt
150 Accepted data connection
Загрузка
Жду ответа сервера...
226-File successfully transferred
226 0.000 seconds (measured here), 81.35 Kbytes per second
Copied (16.03.2008 13:04:37): ftp://anddi.winlink.ru//New Text Document.txt -> c:\Documents and Settings\Andreeff.RKSWMIA\Рабочий стол\New Text Document.txt 21 bytes, 1.0 kbytes/s
PASV
227 Entering Passive Mode (84,52,121,137,195,92)
STOR Blacklist.txt
150 Accepted data connection
Закачка
226-File successfully transferred
226 2.367 seconds (measured here), 433.88 bytes per second
Copied (16.03.2008 13:04:53): c:\Documents and Settings\Andreeff.RKSWMIA\Рабочий стол\Blacklist.txt -> ftp://anddi.winlink.ru/Blacklist.txt 1 027 bytes, 0.0 bytes/s
Чтение каталога...
TYPE A
200 TYPE is now ASCII
PASV
227 Entering Passive Mode (84,52,121,137,195,93)
LIST
150 Accepted data connection
Загрузка
Жду ответа сервера...
226-Options: -l
226 9 matches total
QUIT
221-Goodbye. You uploaded 2 and downloaded 1 kbytes.
221 Logout.

ps: Анонимуса создал только ради творческого эксперимента ,
ща вырублю

А какая подсеть у Вашего DNS? За роутером какая сетка, из приватных адресов или как?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

За роутером приватные адреса в диапазоне 192.168...
Маска подсети 255.255.255.0
Айпи внешний на роутере конечно

Чудеса

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Чудеса , это когда , что то неподтверждённое imho...
Я же логи выкладываю...
2 Dima G.
Вы не могли бы описать как у Вас сетка построена ,
может что вместе додумаем...
кстати я вижу у Вас Корбина провайдер
если мне память не изменяет то у них даже если внешний Айпи , то через впн как то реализованно... и вот здесь может крыться много интересного

Да не, я верю Вам. Я не могу понять, почему у Вас работает. DNS ведь не знает, какая сетка за роутером, к тому же он не в курсе о внешнем адресе. Может, там 192.168.1.0/24, а может 192.168.100.0/24. Да, у меня Корбина, но способ доступа к Инету не имеет значения. Мой DNS опять же не может знать про способ подключения Интернета. Я лишь сужу по его логам. А там видно, что DNS предлагает соединиться с его IP (единственное, что он знает) на такой-то порт в режиме PASV. Как в Вашем случае он еще узнает о внешней сети, мне о сих пор непонятно. Кто ему может сообщить об этом? По идее только пользователь, прописав в настройках FTP-сервера. По опыту работы с несколькими софтовыми FTP-серверами (Serv-U и т.д.) скажу, что абсолютно везде требуется прописать внешний IP, который FTP-сервак будет отправлять по команде PASV.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

IMHO не нужно ему ничего знать о внешней сети ,
он стоит в локалке и отвечает на запросы
И если я прописал на роутере что запрос на 20-21 порт внешнего интерфейса автоматом форвардить на указанный айпи(DNSа) в локалке
то DNSу остаётся только на запрос ответить

Почитайте про работу пассивного режима FTP. DNS как раз и отвечает в ответ на PASV со стороны клиента FTP такой строчкой:

Это строчка из Вашего же лога, которой DNS дает ответ, по какому адресу и порту стучаться для передачи данных. А про порт 20, как Вам уже писали, забудьте. Он никогда не использовался для пассивного режима. На этот удаленный порт стучится сам DNS в активном режиме, если удаленный клиент не прописал иное. Можете закрыть этот порт и ничего не изменится.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Правильно, все и будет работать, если машина с которой ты логинишься к ftp серверу имеет публичный адрес. А ты попробуй из под nat с серым ip зайти. Нифига не выйдет.

А это тут каким боком? И как ftp сервер вообще может знать, за NATом сидит клиент или имеет публичный адрес, если запрос приходит с публичного адреса?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

К сожалению коллеги и с внешнего и с сидящих за Nat проверял...
Пускает однако ... уже всю голову сломал

Читал
In order to resolve the issue of the server initiating the connection to the client a different method for FTP connections was developed. This was known as passive mode, or PASV, after the command used by the client to tell the server it is in passive mode.

In passive mode FTP the client initiates both connections to the server, solving the problem of firewalls filtering the incoming data port connection to the client from the server. When opening an FTP connection, the client opens two random unprivileged ports locally (N > 1023 and N+1). The first port contacts the server on port 21, but instead of then issuing a PORT command and allowing the server to connect back to its data port, the client will issue the PASV command. The result of this is that the server then opens a random unprivileged port (P > 1023) and sends the PORT P command back to the client. The client then initiates the connection from port N+1 to port P on the server to transfer data.

From the server-side firewall's standpoint, to support passive mode FTP the following communication channels need to be opened:
FTP server's port 21 from anywhere (Client initiates connection)
FTP server's port 21 to ports > 1023 (Server responds to client's control port)
FTP server's ports > 1023 from anywhere (Client initiates data connection to random port specified by server)
FTP server's ports > 1023 to remote ports > 1023 (Server sends ACKs (and data) to client's data port)
Самому уже интересно , ведь для работы пассивного режима у меня должен быть открыт диапазон старших портов на роутере с форвардингом на фтп... а он закрыт
И как оно работает спрашивается