DI-524UP, Current Firmware Version: v1.06
Firmware Date: Thu Nov 8 19:10:02 CST 2007

Описание затруднения:
Нужно открыть порты с 50000 до 50100 для PASV MODE к FTP, на данной модели рутера это в разделе Virtual Server сделать нельзя, поэтому добавил правило в раздел Firewall. Скрин тут. Но к моему удивлению это не сработало, проверив порты через
http://www.utorrent.com/testport.php?port=50043
получил вердикт: Error! Port 50043 does not appear to be open. Пассив мод конечно же тоже не заработал.

Далее я решил проверить таким образом
1. Удалил порт 21 из Virtual Server и добавил правило в Firewall о его открытии. Скрин. Проверил, порт 21 закрыт.

2. Удалил 21 из Firewall и добавил обратно в Virtual Server. Скрин. Проверил, порт 21 открыт.

Что я делаю не правильно? Или это недокументированная фича?
А можно ли, тогда хоть по другому открыть промежуток портов?

По собственному опыту рулы фаервола в длинках работают только на подрез портов и пользователей изнутри наружу.Deny по умолчанию снаружи внутрь можно обойти только виртуальным сервером. Но виртуальные сервера работают по всем назначенным портам, протоколам и адресам (странно-- почему у вас не выходит) делал на 604,704,804, 524,624,634. Длинки после каждого Applay, очень любят Reboot, а затем перегрузку по питанию. Иначе может настройки не воспринять.
Надеюсь помог!

Спасибо сейчас попробую.
Но вот что меня настораживает, после добавление портов в Virtual Server рестарт рутеру делать не надо, и так работать начинает.

А как заметно на скринах, между открытым портом через Virtual Server или через Firewall есть разница в записи.

1. allow с маленькой буквы
2. после TCP, порт идёт с новой строки. Мне кажется это именно новая строка, а не wrap.

Ужимки и прыжки со шрифтами-- это прикол конвертации из Unix- системы, на которой работают мозги Dlink-ов, в Windows и обратно

А может поставить ваш FTP в DMZ и уже на FTP- машине что-то типа Outpost или ZoneAlarm (на худой конец )?

Отключил питание, потом ребут сделал. Результата не последовало, всё осталось как было.
На счёт DMZ, мне это очень не хотелось бы делать, только из-за pasv mode для фтп

Вообще девайсы D-link после первых настроек, которые делаются обычно после покупки устройства, работают стабильно, но если начинаешь менять какие либо настройки после нескольких месяцев работы на одних и тех же первых настройках, могут начаться глюки и всякие там чудеса (есть такой опыт). Обычно спасает перепрошивка фирмварем (можно новым, а можно тем же самым). Мне обычно помогало, если не поможет- то прямая дорога девайсу в два места на выбор---- либо в сервис(пусть там сами со своим чудом разбираются), либо заоверлочить его километров так до 150 в час этажа так с двадцатого
Идей больше нет, sorry

Ему три дня отроду=) Жалко выкидывать пока... в сервис тоже нести не охота. Я думаю ошибка в прошивке... надо довести эту проблему до разработчиков, может у них идеи какие-нибудь будут.

_________________
DI-524UP

Есть подозрения, что подобная проблема имеет место и в темах:
viewtopic.php?t=49373
viewtopic.php?t=50123

Люди, у кого ещё есть DI-524UP, прошу протестируйте у себя на роутерах, будет ли работать правило, добавленное непосредственно в разделе Firewall

_________________
DI-524UP

Вообще не понимаю откуда Вы делаете такие выводы. С чего Вы взяли, что если Вы разрешили доступ к портам в файерволе, то они должны быть открыты?
Порт считается открытым только если на нем ждёт подключений какой-нибудь сервис. В роутере никакие сервисы не запущены на тех портах, что Вы открываете. С чего они должны показываться открытыми?

Спасибо!
У меня на локальном сервере (ип 192.168.0.2) запущен FTP Server. Он ожидает подключения на 21 порту. Если в роутере DI-524UP открывать его через Virtual Server, порт действительно открывается, а вот если добавить руками правило об открытие 21 порта в раздел Firewall
(Allow from wan (*) to me (192.168.0.2) on 21), то порт 21 не открываеться.

В примерах:
Правило добавляю через раздел Virtual Server

OK! Port 21 is open and accepting connections.

Правило добавляю через раздел Firewall

Error! Port 21 does not appear to be open.

Я хочу ещё раз акцептировать ваше внимание на то, что есть отличия если правило добавлено через раздел Firewall.


Стрелками помечено:
1. Два пробела, вместо одного (у всех правил добавленных через Virtual Server один пробел)
2. Возврат каретки (перенос) после запятой.

_________________
DI-524UP

Если Вы не включили виртуальный сервер, то запрос не перенаправляется на 192.168.0.2. Клиента Вашего FTP сервера какой ip-адрес пытается открыть? Внешний адрес WAN порта роутера. Так откуда роутер должен знать, что запрос нужно перенаправить на одну из машин в его локальной сети? И на какую именно машину?
Почитайте что-нибудь про маршрутизациюи NAT, тогда таких вопрсов у Вас возникать не будет.

GoaMind, с чего Вы вообще решили, что Ваше, руками добавленное, правило должно осуществлять трансляцию адресов? Этим занимается VS, а не firewall

invm
1. Для чего тогда нужен раздел Firewall.
2. Как мне открыть промежуток портов с 50000 по 50100, если в Virtual Server`e у этой модели рутера этого сделать нельзя.
3. Как вы объясните это: http://support.dlink.com/faq/view.asp?orig=1&prod_id=1341?

Alexandr Zaitsev
Спасибо.
И так у меня есть ФТП сервер, полностью настроенный, рабочий - проверено на другом роутере.
Через Virtual Server открыл 21 порт
Через Firewall открыл промежуток с 50000 по 50100 для PASV MODE

При этом установленно:
1. Порт 21 действительно открыт.
2. Промежуток портов 50000 по 50100 безнадёжно закрыты.

Я ещё раз акцептирую внимание на то, если порт открывать через Virtual Server, порт открывается, тогда как если этот же порт открывать, добовляя запись в Firewall, ничего подобного не происходит.

До DI-524UP у меня 4 года стоял SMC Barricade 7004 BR, и пассив мод на фтп сервере через него всегда уверено работал. Когда порты открыты или закрыты я разобраться могу.

_________________
DI-524UP

1. Виртуальный сервер это не только правило в файерволе.
2. Промежуток портов в виртуальном сервере задать нельзя. В этой модели прописывать диапазон для пассивного режима работы FTP не надо, достаточно прописать только 21 порт.