Добрый день

мне нужна консультация по следующему вопросу.

Я подключен к интернету через СТРИМ (модем DLink DSL-300T). Модем подключен к WAN-интерфейсу маршрутизатора DI-604, к LAN-интерфейсам которого подключен весь зоопарк, и среди прочего - домашний сервак под Линуксом.

На маршрутизаторе я зашел в раздел 'Virtual Servers' и там установил правило, по которому все запросы на порт 2121 внешнего интерфейса должны перенаправляться на IP 10.0.0.4, а это и есть сервер. Кстати, там нет возможности задать номер порта, на который перенаправляются запросы - я так понимаю, они приходят на тот же самый порт 2121?

Поскольку настроить FTP-сервер, чтобы он слушал не только на порту 21, но и еще на 2121, в моем случае невозможно, я настроил редирект в файерволе Линукса, по которому входящие запросы на порт 2121 перенаправляются на порт 21.

Казалось бы, должно работать, но... не работает. Подключиться извне получается, но файлы не показываются - пусто.

Может быть, что-то еще нужно сделать на маршрутизаторе? Есть у кого-нибудь идеи?

RTFM FTP

FTP использует основное соединение (control) для передачи команд. Для передачи данных (файлов и, обычно, и содержимого каталогов тоже) на каждый объект (опять же файл или содержимое каталога) открывается новое TCP-соединение. Есть 2 режима:
Активный - соединение устанавливает сервер, обычно с порта 20/tcp, к клиенту на адрес и порт, сообщаемый клиентом. В большинстве случаев это не работает, если клиент находится за NAT-ом и/или фаерволом без функции ALG
Пассивный - активируется коммандой PASV, сервер сообщает клиенту свой адрес и порт, и клиент устанавливает соединение на него. Проблема с NAT-ом и фаерволом та же, но решать её надо на стороне сервера. В подавляющем большинстве случаев используется именно пассивный режим.

Спасибо, понимаю.
Но что же делать - вот что непонятно. Ведь для меня как абонента СТРИМа 20-й порт закрыт на вход... Мне нужно настроить мой FTP-демон, чтобы он предлагал клиентам в пассивном режиме подключаться к некоторому незаблокированному порту, насколько я понимаю. Но я пока не разобрался, как это сделать.

20-ый порт закрыт? Не опечатка? Наверное, 21-ый...
20-ый порт используется как раз как исходящий от FTP-сервера.

Как сделать...
1) Использовать соответствующий роутер, наверное, недешёвый.

2)Некоторые FTP-серверы (например, Serv-U) позволяют задать в их настройках адрес внешнего интерфейса NAT/фаервола и диапазон портов. После этого этот диапазон портов надо "пробросить" через NAT/фаервол и всё готово.

Надо еще кой-чего настроить...
Пробросить порты, например, 2000-2010. Там же, в Vitrual Server, где
Virtual Server FTP 192.168.0.11 TCP 21 / 21 Always
надо создать еще одно правило, типа
Virtual Server FTP passive 192.168.0.11 TCP 2000-2010 / 2000-2010 Always
И в Serv_U их указать. <Local Server> - Settings - Advanced - Pasw Port Range

А в первом правиле можно прямо указать не 21/21, а <ваш порт>/21. Тогда для LAN указанный станет 21-м.

Подводим итоги:
1. Стрим фильтрует порт 21, поэтому устанавливаем 2121.
2. В Virtual Servers устанавливаем правило для порта 2121 и перебрасываем его на IP 10.0.0.4 на порт 21.
Этого достаточно, чтобы FTP клиенты, которые не находятся за NAT (например, компы входящие в инет по диал-ап) могли работать с вашим сервером FTP в активном режиме.
3. Клиенты, находящиеся за NAT могут работать с вашим сервером только в пассивном режиме (из- за нестандартного порта 2121).
Настраиваем пассивный режим (IP пассивного режима и диапазон портов пассивного режима) на FTP сервере.
Убеждаемся, что IP пассивного режима - внешний реальный IP адрес, а не адрес в локальной сети (в последнем случае с Вами смогут работать только те клиенты, которые умеют подменять адрес пассивного режима, например SmartFtp, но не IE).
4. В Virtual Servers устанавливаем правило для всего диапазона портов пассивного режима (также перебрасываем их на 10.0.0.4).
И вперед!

Спасибо всем ответившим!

Последнее сообщение натолкнуло меня та такие мысли:
IP пассивного режима для моего FTP-сервера - это IP, который выдается мне СТРИМом. Но это ведь динамический адрес! То есть, это получится, если только в качестве IP для пассивного режима мой FTP сервер будет передавать клиентам имя, которое будет резолвится в правильный IP (благодаря dyndns.org). Но я сомневаюсь, что мой FTP-сервер вообще настраивается, не говоря уж о таких продвинутых вещах... Это простой встроенный FTP-сервер входящий в комплект моего Linux Mandrake 2.14.

Я сходил на страницу СТРИМа, где приведен список заблокированных портов, и убедился, что порта 20 там действительно нет. То есть, получается, проблема только в одном - мой FTP-сервер отправляет клиентам, работающим в пассивном режиме, адрес 10.0.0.4, - шанс подключиться невелик.

Я читал ман по этому встроенному серверу, но не нашел там ничего, что хотя бы отдаленно напоминало возможность сконфигурить IP, отправляемый клиентам в пассивном режиме.

Честно говоря, не знаю, что делать. Получается, моя проблема имеет очень косвенное отношение к оборудованию dlink - дело только в Линуксе и в доступных FTP-серверах под него.

В любом случае вход на твой сервер будет возможен в пассивном режиме для всех FTP клиентов, для которых предусмотрена возможность "Force the server IP for passive mode" (SmartFtp) и в активном режиме для всех клиентов, которые не за NAT.
Кроме того, у меня большие сомнения, что сервер не настраевается вообще. А диапазон пассивных портов можно увидеть в логе.
У меня FTP сервер вобще прошитый в железку с минимум настроек и нормально работает под Стрим в похожей ситуации.

alexanderm, немгого "подшлифую" Ваш ответ. Указанная Вами возможность ("Force the server IP for passive mode", кстати, не знал что такая бывает, спасибо) решает только проблему трансляции IP-адреса. Но она не решает проблему доступности порта, открытого серевером. Это надо иметь ввиду и не забывать.

"в активном режиме для всех клиентов, которые не за NAT" - немного не так, точнее будет сказать тавтологию, но тем не менее - "для всех клиентов, которые доступны по предоставляемому адресу:порту" (это может быть и за NAT-ом при наличии ALG, и наоборот - к клиенту без NAT-а можно и не подключитьс я при наличии "глупого" фаервола).

...дубль удалён...

Согласен на 100%.

...дубль удалён...

Sorry, ну и глюкодром же... А я всё никак не мог понять - откуда дубли? Теперь понятно...