Имеется сабжевое устройство. В инет смотрит WAN интерфейс со статическим адресом.
Имеется внутренняя сетка. Настроен NAT на устройстве.
Фирмварь 1.34.00

Не получается подключиться к внешним FTP ресурсам в активном режиме с компьютеров локальной сети. В пассивном все работает.
В активном обмен происходит только по 21 проту. т.е. пользователь коннектится, проходит авторизацию и затыкается на команде port - пишет либо запрещено файрволом, либо иллегальная команда port.

Настройки файрвола на устройстве:

LAN->WAN
Policy Source Dest Ports
allow 192.168.1.1-192.168.1.20 Any All Protocols
Где 192.168.1.1-.20 локальная сеть. интерфейс устройства в локалке 192.168.1.1, интерфейс машины машины клиента допустим 192.168.1.2

WAN->LAN
allow X.X.X.X 192.168.1.1-192.168.1.20 All Protocols
Где X.X.X.X - фтп сервер на который пробуем простучаться.

Дополнительных файрволов на клиентских машинах не стоит.
Где проблема?

P.S. аналогичные связки на DI-804HV работают. У меня в подчинении нескольк оудаленных точек которым надо обмениваться по фтп с офисом. Отовсюду работает кроме как с одной точки где вместо DI-804HV стоит DFL-700

Для доступа к ресурсам ftp нужно использовать ALG
На устройстве есть предопределенный сервис ftp-outbound, вам нужно добавить соотвествующее правило LAN->WAN с этим сервисом.

добавил правило в LAN->WAN следующего вида:

allow с 192.168.1.1-192.168.20 на X.X.X.X по сервису ftp-outbound взятого из списка сервисов. порты оно конечно не дало изменить - сервис предопределен на ранж портов 21-20 судя по тому что я видел в описании.

Не работает. Все то же самое - активный режим не пускает. Пассивный - работает.

Попробовал дополнительно в WAN->LAN добавить обратное правило для сервиса ftp-inbound. Тоже не пускает. Хотя я полагаю это для ялучая когда внутри сети стоит фтп сервер и его надо наружу пробросить (Хотя я бы сделал портмаппингом или дмз).

Попробовал эти правила выставить вперед, самыми первыми - тот же эффект.

то PORT cjmmand denied by firewall то illegal PORT command

судя по поиску на форуме у людей были аналогичные проблемы или около них...
viewtopic.php?t=12695&highlight=700+FTP
viewtopic.php?t=5183&highlight=700+FTP

проблемы так и не удалось решить еще с тех времен...

у кого есть положительный опыт работы с активным фтп протоколом на 700 длинке? %)
поделитесь опытом настройки...

могу если нужно выложить все правила файера которые у меня есть.

Вот лог работы через unix систему:
ftp 192.168.100.129
Connected to 192.168.100.129.
220 den.dlink.ru FTP server (Version 6.00LS) ready.
Name (192.168.100.129:ftp): ftp
331 Guest login ok, send your email address as password.
Password:
230 Guest login ok, access restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
500 Command not understood.
227 Entering Passive Mode (192,168,100,129,17,150)
150 Opening ASCII mode data connection for '/bin/ls'.
total 4
drwxrwxrwt 6 0 0 1536 Dec 11 12:30 incoming
drwxr-xr-x 7 0 0 512 Dec 11 15:01 pub
226 Transfer complete.
ftp> passive
Passive mode: off; fallback to active mode: off.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for '/bin/ls'.
total 4
drwxrwxrwt 6 0 0 1536 Dec 11 12:30 incoming
drwxr-xr-x 7 0 0 512 Dec 11 15:01 pub
226 Transfer complete.

Прошивка 1.35
Расскажите более подробно про сервер и клиент. Может используется какое нить расширение, типа вот этого:
http://lattice.itep.ru/old/UNIX/RFC/rfc2428.html

клиентское ПО с которого проводились коннекты:
1. FAR 1.70
режим соединения - активный, дополнительные параметры не заданы.
2. Total Commander 6.55
режим соединения - активный, дополнительные параметры не заданы.

Тестовые сервера:
1. ProFTPd 1.3 (FreeBSD 4.11) инсталлированный из портов. Без дополнительных модулей. Поддержка активного и пассивного режима.
2. ServU 4.1 (Windows 2003) установки по умолчанию.

Анализ трафика показал отсутствие инициации соединения по 20 порту для передачи данных.

Из других мест подключаюсь такими же клиентами на эти же самые сервера - всё ок! Отличие других удаленных точек - вместо DFL-700 стоят DI-804HV

Прошивку ещё хотелось бы уточнить.
Свои тесты я проводил под 1.35

провел аналогичный тест-коннект из командной строки от клиента с DI-804HV

C:\Program Files\Far>ftp X.X.X.X
Связь с X.X.X.X.
220 ProFTPD 1.3.0 Server (ftp.********.ru) [X.X.X.X]
Пользователь (X.X.X.X:(none)): ********
331 Password required for ********.
Пароль:
230 User ******* logged in.
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
logs
htdocs
conf
cgi
226 Transfer complete.
ftp: 75 байт получено за 0,92 (сек) со скоростью 0,08 (КБ/сек).
ftp> quit
221 Goodbye.


а вот что получаю при аналогичной процедуре через DFL-700

C:\Program Files\Far>ftp X.X.X.X
Связь с X.X.X.X.
220 ProFTPD 1.3.0 Server (ftp.********.ru) [X.X.X.X]
Пользователь (X.X.X.X:(none)): ********
331 Password required for ********.
Пароль:
230 User ******* logged in.
ftp> ls
500 Illegal PORT command
425 Unable to build data connection: Connection refused

Firmware version: 1.34.00
скачивал с фтп ресурса д-линка
можно урлик на 1.35? попробую перепрошить и коннектиться с ней.

это не тот ли имидж который называется DFL-700-1.35.00-PRE001-upgrade.img ?

потому как прошивал вчера этим: DFL-700-1-34-00-upgrade.img

вооще меня смущают в вашем тесте вот эти строки:

ftp> ls
500 Command not understood.
227 Entering Passive Mode (192,168,100,129,17,150)
150 Opening ASCII mode data connection for '/bin/ls'.

отписало что падает в пассивный режим...


а потом
ftp> passive
Passive mode: off; fallback to active mode: off.

ни то ни то?

Изначально я дал Вам ложную информацию, сейчас посмотрел на устройство. Вам нужно использовать не ftp-out, а сервис ftp-passthroght.
При этом как раз и приминяются соединения на 20-й порт, 21-й выступает как триггер.
Установите отдельное правило перед allow any any all, allow any any ftp-passthroght.

добавил в секцию LAN->WAN следующие правила:
после стандартного #1 drop_smb-all Drop Any Any smb-all
#2 ftp Allow Any Any ftp-passthrough
#3 Allow_all Allow Any Any All Protocols

далее у меня следуют такие правила которые были раньше:
#4 allow_ping-outbound Allow Any Any ping-outbound
#5 Allow_from_local Allow 192.168.1.1-.20 Any All Protocols
#6 sklad_t70 Allow 192.168.1.8 Any skype
#7 http Allow 192.168.1.3-.5 Any http-all
#8 pop3mail Allow 192.168.1.3-.5 Any pop3
#9 smtpmail Allow 192.168.1.3-.5 Any smtp
#10 citrix_office Allow 192.168.1.2 x.x.x.x All Protocols
#11 citrix_clients1 Allow 192.168.1.2 x.x.x.x All Protocols
#12 Citrix_clients2 Allow 192.168.1.2 x.x.x.x All Protocols
понимаю что правила избыточны но это в сути вопроса роли не играет.

дополнительно опишу ветку WAN->LAN
#1 clients1 Allow x.x.x.x 192.168.1.1-.20 All Protocols
#2 clients2 Allow x.x.x.x 192.168.1.1-.20 All Protocols
#3 office Allow x.x.x.x 192.168.1.1-.20 All Protocols

правила описывающие office - вместо x.x.x.x айпишник сервера где крутится один из требуемых фтп серверов куда нужен доступ.


в общем при таком раскладе ничего не заработало. Результат тот же самый.

В общем-то, у меня тот же самый вопрос, что и у _RAW_. А именно: нет доступа к внешним ftp-серверам в активном режиме. Правила ALG использовал такие - сначала ftp-passthrough, потом, когда ничего не получилось - и ftp-inbound и ftp-outbound (но это уже, скорее, от отчаяния ). Версия прошивки у моего DFL-700 1.33.00-SU1.
Как решить проблему?

Провёл ряд тестов из под виндоуса с dlink.ru.
Привидите свои адреса для тестирования, попрбуйте есть ли доступ к ftp.dlink.ru
Все тесты проводились на прошивке 1.35

итог коннекта на ftp.dlink.ru

The FAR manager, version 1.70 beta 5 (build 1634)
Copyright (C) 1996-2000 Eugene Roshal, Copyright (C) 2000-2003 FAR Group
Evaluation copy, please register.
D:\>ftp ftp.dlink.ru
Connected to ftp.dlink.ru.
220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
220-You are user number 60 of 200 allowed.
220-Local time is now 13:04. Server port: 21.
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
User (ftp.dlink.ru:(none)): anonymous
230 Anonymous user logged in
ftp> ls
500 I won't open a connection to 192.168.1.2 (only to Х.Х.Х.Х)
425 No data connection
ftp>

где Х.Х.Х.Х - адрес на WAN интерфейсе DFL-700
а 192.168.1.2 - айпишник клиентской машины в локалке инициировавшей коннект

некорректно натит фтп протокол?
плюс повторяю вопрос - 1.35 прошивка это та которая лежит на ftp.dlink.ru образом с именем DFL-700-1.35.00-PRE001-upgrade.img ?