D-Link • Просмотр темы - DFL-210 и публикация FTP на LAN порту

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL-210 и публикация FTP на LAN порту

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 16 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Boris814

Заголовок сообщения: DFL-210 и публикация FTP на LAN порту

Добавлено: Пт ноя 26, 2010 17:40

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

Здравствуйте.
Подскажите, в чём проблема и как её решить.
DFL-210, FTP server внутри сети (на LAN порту, в DMZ поставить нет возможности по ряду причин)
Созданы правила (по порядку):
TempFTP-Server SAT any all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 ftp-passthroughDestination ports: 21
NAT NAT lan lannetAddress: 192.168.170.0/24 any all-netsAddress: 0.0.0.0/0 all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
TempFTP Allow any all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 ftp-passthrough

Клиент из глобальной сети в пассивном режиме пытается подключиться, авторизация проходит а дальше нет (Timeout detected, в логе видно что DFL блочит)

Логи DFL-210:

2010-11-26
17:30:58 Warning RULE
6000051 Default_Rule TCP wan
x.x.x.162
x.x.x.123 61726
51260 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1

2010-11-26
17:30:58 Info CONN
600001 TempFTP TCP wan
lan x.x.x.162
x.x.x.123 61725
21 conn_open
satdestrule=TempFTP-Server conn=open

Как научить DFL публиковать FTP для пассивных клиентов ?

Вернуться наверх

aepot

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пт ноя 26, 2010 18:46

Зарегистрирован: Пн ноя 22, 2010 15:46
Сообщений: 228
Откуда: Рыбинск, Ярославская обл.

создай правило для сервиса ftp-passthrough (FTP - unrestricted - allows all transfer modes for client and server)

6000051 Default_Rule значит, что пакет обработан правилом по умолчанию, которое отбрасывает все.
а обработан им потому что DFL не нашла ни одного подходящего правила в списке для этого пакета.

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пт ноя 26, 2010 18:56

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

а как правило должно выглядеть?

Вернуться наверх

aepot

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пт ноя 26, 2010 18:58

Зарегистрирован: Пн ноя 22, 2010 15:46
Сообщений: 228
Откуда: Рыбинск, Ярославская обл.

Boris814 писал(а):

а как правило должно выглядеть?

Action: allow (forward/SAT/NAT) - зависит от метода прохождения трафика у вас
Service: ftp-passthrougt
Src net: all-nets
Src interface: wan
Dst net: ftp_server_ip
Dst interace: lan

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пт ноя 26, 2010 19:20

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

сейчас правила выглядят следующим образом:
1 ping_fw Allow lan lannetAddress: 192.168.170.0/24 core lan_ipAddress: 192.168.170.254 ping-inbound
2 NAT NAT lan lannetAddress: 192.168.170.0/24 any all-netsAddress: 0.0.0.0/0 all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
3 RDP_server SAT wan SMAddress: x.x.x.162 core wan_ipAddress: x.x.x.123 rdpDestination ports: 3389
4 RDP Allow wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 rdpDestination ports: 3389
5 TempFTP-Server SAT wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 ftp-passthroughDestination ports: 21
6 TempFTP Allow wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 ftp-passthrough

как я понимаю:
6 правило разрешает обращение к wanip (в моей конфигурации сервис ftp-passthrough это обращения к 21 порту без ALG)
5 правило организует Port Forwarding

попробовал добавить правило
FTP_NAT Allow wan all-netsAddress: 0.0.0.0/0 lan ServerAddress: 192.168.170.1 ftp-passthrough

и поставить его выше 5 и 6 правил.
не помогло (в том числе и изменение Allow на NAT)

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пт ноя 26, 2010 19:25

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

судя по логам, аутентификация проходит по 21 порту
так же в рамках аутентификации клиент с сервером договариваются по какому порту они будут гнать данные
следующей фазой как раз идёт обращение клиента на согласованный порт (не 21) и тут DFL-210, которого "как бы забыли предупредить, а сам он не понял" эти обращения блокирует.
таким образом, дальше аутентификации дело не движется

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пт ноя 26, 2010 19:28

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

Лог клиента
2010-11-26 17:59:46.110 WinSCP Version 4.2.9 (Build 938) (OS 6.1.7600)
. 2010-11-26 17:59:46.110 Login time: 26 Ноябрь 2010 г. 17:59:46
. 2010-11-26 17:59:46.110 --------------------------------------------------------------------------
. 2010-11-26 17:59:46.111 Session name: x.x.x.123 (x)
. 2010-11-26 17:59:46.111 Host name: x.x.x.123 (Port: 21)
. 2010-11-26 17:59:46.111 User name: admin (Password: Yes, Key file: No)
. 2010-11-26 17:59:46.111 Tunnel: No
. 2010-11-26 17:59:46.111 Transfer Protocol: FTP
. 2010-11-26 17:59:46.111 Ping type: C, Ping interval: 30 sec; Timeout: 15 sec
. 2010-11-26 17:59:46.111 Proxy: none
. 2010-11-26 17:59:46.111 FTP: FTPS: Explicit SSL; Passive: Yes [Force IP: No]
. 2010-11-26 17:59:46.111 Local directory: default, Remote directory: home, Update: No, Cache: Yes
. 2010-11-26 17:59:46.111 Cache directory changes: Yes, Permanent: Yes
. 2010-11-26 17:59:46.111 DST mode: 1
. 2010-11-26 17:59:46.111 --------------------------------------------------------------------------
. 2010-11-26 17:59:46.560 Connecting to x.x.x.123 ...
. 2010-11-26 17:59:46.564 Connected with x.x.x.123, negotiating SSL connection...
< 2010-11-26 17:59:46.564 220 x
> 2010-11-26 17:59:46.564 AUTH SSL
< 2010-11-26 17:59:46.564 234 AUTH command ok. Expecting TLS Negotiation.
. 2010-11-26 17:59:47.028 SSL connection established. Waiting for welcome message...
> 2010-11-26 17:59:47.028 USER admin
< 2010-11-26 17:59:47.032 331 Password required for admin.
> 2010-11-26 17:59:47.032 PASS **********
< 2010-11-26 17:59:47.037 230-Directory has 416,986,808,320 bytes of disk space available.
< 2010-11-26 17:59:47.038 230 User logged in.
> 2010-11-26 17:59:47.038 SYST
< 2010-11-26 17:59:47.043 215 x
> 2010-11-26 17:59:47.043 FEAT
< 2010-11-26 17:59:47.047 211-Extended features supported:
< 2010-11-26 17:59:47.049 LANG EN*
< 2010-11-26 17:59:47.049 UTF8
< 2010-11-26 17:59:47.049 AUTH TLS;TLS-C;SSL;TLS-P;
< 2010-11-26 17:59:47.049 PBSZ
< 2010-11-26 17:59:47.049 PROT C;P;
< 2010-11-26 17:59:47.049 CCC
< 2010-11-26 17:59:47.049 HOST
< 2010-11-26 17:59:47.049 SIZE
< 2010-11-26 17:59:47.049 MDTM
< 2010-11-26 17:59:47.049 REST STREAM
< 2010-11-26 17:59:47.049 211 END
> 2010-11-26 17:59:47.049 OPTS UTF8 ON
< 2010-11-26 17:59:47.054 200 OPTS UTF8 command successful - UTF8 encoding now ON.
> 2010-11-26 17:59:47.054 PBSZ 0
< 2010-11-26 17:59:47.059 200 PBSZ command successful.
> 2010-11-26 17:59:47.059 PROT P
< 2010-11-26 17:59:47.063 200 PROT command successful.
. 2010-11-26 17:59:47.065 Connected
. 2010-11-26 17:59:47.065 Got reply 1 to the command 1
. 2010-11-26 17:59:47.065 --------------------------------------------------------------------------
. 2010-11-26 17:59:47.065 Using FTP protocol.
. 2010-11-26 17:59:47.066 Doing startup conversation with host.
> 2010-11-26 17:59:47.068 PWD
< 2010-11-26 17:59:47.072 257 "/" is current directory.
. 2010-11-26 17:59:47.072 Got reply 1 to the command 16
. 2010-11-26 17:59:47.075 Getting current directory name.
. 2010-11-26 17:59:47.078 Retrieving directory listing...
> 2010-11-26 17:59:47.078 TYPE A
< 2010-11-26 17:59:47.080 200 Type set to A.
> 2010-11-26 17:59:47.081 PASV
< 2010-11-26 17:59:47.085 227 Entering Passive Mode (x,x,x,123,200,225).
> 2010-11-26 17:59:47.086 LIST -a
< 2010-11-26 17:59:47.092 150 Opening ASCII mode data connection.
. 2010-11-26 18:00:02.342 Timeout detected.
. 2010-11-26 18:00:02.343 Could not retrieve directory listing
. 2010-11-26 18:00:02.343 Got reply 1004 to the command 2
* 2010-11-26 18:00:02.378 (ESshFatal) Lost connection.
* 2010-11-26 18:00:02.378 Timeout detected.
* 2010-11-26 18:00:02.378 Could not retrieve directory listing
* 2010-11-26 18:00:02.378 Opening ASCII mode data connection.
* 2010-11-26 18:00:02.378 Error listing directory '/'.

Вернуться наверх

Dima G.

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Сб ноя 27, 2010 01:24

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва

Boris814, оставьте все, как указано в первом посту, только вместо сервиса ftp-passthrough в правилах TempFTP-Server и TempFTP надо указать ftp-outbound. Проверьте, чтобы у этого сервиса в Application Layer Gateway был указан ftp-outbound

Цитата:

Как научить DFL публиковать FTP для пассивных клиентов ?

Судя по логам клиента FTP, они и так получают "правильный" IP от DFL, т.е. IP WAN интерфейса.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Вернуться наверх

danilovav

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Сб ноя 27, 2010 13:40

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

И к слову, избавьтесь от any в правилах.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пн ноя 29, 2010 13:14

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

Не совсем понял почему ftp-outbound, но тем не менее сделал правила следующим образом:

1 ping_fw Allow lan lannetAddress: 192.168.170.0/24 core lan_ipAddress: 192.168.170.254 ping-inbound
2 NAT NAT lan lannetAddress: 192.168.170.0/24 wan all-netsAddress: 0.0.0.0/0 all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
3 RDP_server SAT wan SMAddress: x.x.x.162 core wan_ipAddress: x.x.x.123 rdpDestination ports: 3389
4 RDP Allow wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 rdpDestination ports: 3389
5 TempFTP-Server SAT wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 ftp-outboundDestination ports: 21
6 FTP_NAT NAT lan ServerAddress: 192.168.170.1 wan all-netsAddress: 0.0.0.0/0 all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
7 TempFTP Allow wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: x.x.x.123 ftp-outbound

Проверил ALG у ftp-outbound - установлен ftp-outbound

Логи клиента:

.....
< 2010-11-29 13:07:00.231 211 END
> 2010-11-29 13:07:00.231 OPTS UTF8 ON
< 2010-11-29 13:07:00.250 200 OPTS UTF8 command successful - UTF8 encoding now ON.
. 2010-11-29 13:07:00.252 Connected
. 2010-11-29 13:07:00.253 Got reply 1 to the command 1
. 2010-11-29 13:07:00.253 --------------------------------------------------------------------------
. 2010-11-29 13:07:00.253 Using FTP protocol.
. 2010-11-29 13:07:00.253 Doing startup conversation with host.
> 2010-11-29 13:07:00.255 PWD
< 2010-11-29 13:07:00.271 257 "/" is current directory.
. 2010-11-29 13:07:00.271 Got reply 1 to the command 16
. 2010-11-29 13:07:00.273 Getting current directory name.
. 2010-11-29 13:07:00.275 Retrieving directory listing...
> 2010-11-29 13:07:00.275 TYPE A
< 2010-11-29 13:07:00.290 200 Type set to A.
> 2010-11-29 13:07:00.290 PASV
. 2010-11-29 13:07:00.301 Disconnected from server
. 2010-11-29 13:07:00.301 Could not retrieve directory listing
. 2010-11-29 13:07:00.301 Got reply 1004 to the command 2
* 2010-11-29 13:07:00.309 (ESshFatal) Lost connection.
* 2010-11-29 13:07:00.309 Disconnected from server
* 2010-11-29 13:07:00.309 Could not retrieve directory listing
* 2010-11-29 13:07:00.309 Type set to A.
* 2010-11-29 13:07:00.309 Error listing directory '/'.
. 2010-11-29 13:07:01.557 Timeout detected.

Логи DFL-210

2010-11-29
13:10:36 Info CONN
600002 TempFTP TCP wan
core x.x.x.162
x.x.x.123 63488
21 conn_close
close
conn=close origsent=486 termsent=1086
2010-11-29
13:10:36 Info CONN
600002 TempFTP TCP core
lan x.x.x.162
192.168.170.1 15313
21 conn_close
close
conn=close origsent=1038 termsent=1078
2010-11-29
13:10:35 Info ALG
200002

alg_session_closed
algmod=ftp algsesid=12
2010-11-29
13:10:35 Critical ALG
200234 TCP wan
core x.x.x.162
x.x.x.123 63488
21 bad_ip
close
peer=server ip4addr=x.x.x.123 ip4addr_server=192.168.170.1 string="227 Entering Passive Mode (x,x,x,123,205,37).��" algmod=ftp algsesid=12 origsent=486 termsent=1046
2010-11-29
13:10:35 Info ALG
200001 TCP wan
core x.x.x.162
x.x.x.123 63488
21 alg_session_open
algmod=ftp algsesid=12 origsent=92 termsent=44
2010-11-29
13:10:35 Info CONN
600001 TempFTP TCP wan
lan x.x.x.162
x.x.x.123 63488
21 conn_open

Последний раз редактировалось Boris814 Пн ноя 29, 2010 13:35, всего редактировалось 1 раз.

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пн ноя 29, 2010 13:25

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

Т.е. не заработало.
Пока проблема не решена я ALG включил, но мне нужно чтобы в конечном итоге заработало без него, так как трафик при передаче предполагается шифровать.

Вернуться наверх

Dima G.

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пн ноя 29, 2010 15:43

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва

В 5-м правиле в поле Destination ports что-то прописано? Уберите.
6-е правило зачем, если есть 2-е? Более того, оно скорее всего и виновато.

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пн ноя 29, 2010 16:08

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

6 делал уже "на всякий случай"
в 5-ом DestinationPorts указанное в таблице - это описание Services, в настройках SAT порт не указываю (только IP)

А тем временем в процессе изысканий выяснил следующее.
Если трафик FTP не шифровать, то заставить работать систему в целом получается.

Правила такие:

1 ping_fw Allow lan lannetAddress: 192.168.170.0/24 core lan_ipAddress: 192.168.170.254 ping-inbound
2 NAT NAT lan lannetAddress: 192.168.170.0/24 wan all-netsAddress: 0.0.0.0/0 all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
3 RDP_server SAT wan SMAddress: x.x.x.162 core wan_ipAddress: y.y.y.123 rdpDestination ports: 3389
4 RDP Allow wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: y.y.y.123 rdpDestination ports: 3389
5 TempSAT SAT wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: y.y.y.123 ftp-passthroughDestination ports: 21
6 TempAllow21 Allow wan all-netsAddress: 0.0.0.0/0 core wan_ipAddress: y.y.y.123 ftp-passthrough

При этом включены опции ALG ftp-passthrough:
Allow server to use passive mode (unsafe for server) - 1024-65535
Allow unknown commands
Allow 8-bit strings in control channel
Fail Mode: Allow

я хочу сказать, что по идее (как я понимаю) при включённой опции "Allow unknown commands" шифрованный трафик должен проходить.
но на деле работает только без шифрования.
Логи клиента при включённом шифровании:
. 2010-11-29 16:02:20.211 Connecting to y.y.y.123 ...
. 2010-11-29 16:02:20.214 Connected with y.y.y.123, negotiating SSL connection...
< 2010-11-29 16:02:20.214 220 Microsoft FTP Service
> 2010-11-29 16:02:20.214 AUTH SSL
< 2010-11-29 16:02:20.214 500 Command not understood.
. 2010-11-29 16:02:20.215 Connection failed.
. 2010-11-29 16:02:20.215 Got reply 1004 to the command 1
* 2010-11-29 16:02:20.219 (ESshFatal) Connection failed.
* 2010-11-29 16:02:20.219 Connection failed.
* 2010-11-29 16:02:20.219 Command not understood.

Логи DFL-210
2010-11-29
16:02:21 Info CONN
600002 TempAllow21 TCP wan
core x.x.x.162
y.y.y.123 62596
21 conn_close
close
conn=close origsent=182 termsent=260
2010-11-29
16:02:20 Info ALG
200002

alg_session_closed
algmod=ftp algsesid=27
2010-11-29
16:02:20 Warning ALG
200225 TCP wan
core x.x.x.162
y.y.y.123 62596
21 illegal_command
rejecting_command
peer=client string="AUTH SSL��" algmod=ftp algsesid=27 origsent=142 termsent=111
2010-11-29
16:02:20 Info ALG
200001 TCP wan
core x.x.x.162
y.y.y.123 62596
21 alg_session_open
algmod=ftp algsesid=27 origsent=92 termsent=44
2010-11-29
16:02:20 Info CONN
600001 TempAllow21 TCP wan
lan x.x.x.162
y.y.y.123 62596
21 conn_open
satdestrule=TempSAT conn=open

Вернуться наверх

Boris814

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пн ноя 29, 2010 16:11

Зарегистрирован: Пт ноя 26, 2010 17:27
Сообщений: 10

в итоге я пытаюсь выяснить как заставить DFL-210 пробрасывать шифрованный трафик FTP без ALG или как настроить ALG

Вернуться наверх

Dima G.

Заголовок сообщения: Re: DFL-210 и публикация FTP на LAN порту

Добавлено: Пн ноя 29, 2010 16:33

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва

Boris814 писал(а):

в итоге я пытаюсь выяснить как заставить DFL-210 пробрасывать шифрованный трафик FTP без ALG или как настроить ALG

На FTP сервере пропишите диапазон портов для пассивного подключения. И этот же диапазон добавьте в сервис FTP на DFL, убрав ALG. И забудете о проблеме.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 16 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 319

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения