Прошивка всех DFL-1500 2-105

Конфигурация упрощенно такая:

Стоит внешний фаревол FW_1 у него на WAN_1 настроен провайдер, постоянный внешний адрес х.х.х.х, настроена LAN_1=192.168.10.1, в NAT одно правило из лан на ван много к одному.

сетка 1-й зоны 192.168.10.х ... здесь офисные работники, выход им в инет по нату через FW_1, доступ к серверам локально в зону 2.

Стоит фаревол 2-го уровня FW_2, у него WAN_1=192.168.10.2, шлюз указан на FW_1 т.е на 192.168.10.1, настроена LAN_1=10.1.2.1, в нат аналогично одно правило из лан на ван много к одному ...

сетка 2-й зоны 10.1.2.х ... здесь серверная сетка.

Все работает нормально ... инет есть и у офисных компов в 1-й зоне и у серваков во 2-й зоне ... настроены виртуальные сервера на FW_1 и FW_2 ... серваки видны и из внешнего инета и из офисной сетки ..

всё в общем нормально .. пока не понадобилось установить FTP клиента во 2-й зоне .. и чтобы он подключался к внешнему FTP серверу ...

Попробовал подключиться к этому FTP серверу из дома ... без проблем и в активном и пассивном режиме ...

Поставил FTP клиента на сервер во 2-й зоне ... естественно в пассивном режиме ... клиент подключается нормально на 21-й .. но далее начинаются проблемы .. т.е. на первой же команде LIST он стопорится ... похоже проблемы с соединением для данных ... попробовал в активном режиме тоже аналогично ...

Далее решил попробовать FTP клиента на машине в 1-й зоне .. в пассивном режиме ... всё аналогично .. попробовал в активном режиме и клиент заработал нормально .. чем сильно удивил ...

1) Не понятно почему не работает FTP клиент в пассивном режиме ... так как исходящее TCP соединение на 21-й порт проходит нормально а исходящее TCP соединение для данных на другой порт указанный сервером FTP не проходит ...

2) Не понятно почему на машине в 1-й зоне FTP клиент заработал в активном режиме ... хотя в фареволе по фтп нет никаких правил разрешающих ... есть только одно правило NAT и всё ...


Подскажите плз что нужно сделать чтобы нормально заработал FTP клиет из 2-й зоны ?

Да, и неплохо было бы еще понять как он умудрился заработать из 1-й зоны в активном режиме при таком раскладе ?

ап

ап

Попробовал уже несколько разных FTP клиентов ... всё одинаково ... почему то в пассивном режиме не удается установить соединение для данных ... а ведь это такое же исходящее TCP как и на 21-й порт, которое нормально устанавливается.

алло ... есть тут кто живой ? ...

Может я конечно парю ... но я реально не могу понять почему исходящее TCP на 21 порт нормально устанавливается а исходящее TCP на другой порт уже не устанавливается .. причем именно у FTP клиента ... ???

Убедитесь, что на FTP разрешен через службу на которой используется FTP ALG

можно попоодробнее ... где что как и т.д.

Работу клиента в активном режиме обеспечивает так называемый ALG, если вы посмотрите в правилах, то на выход разрешается правило ftp-passthrough которое находиться выше основного. правило отрабатывает когда destination port 21, если порт назначение отличается надо изменить порт в свойствах правила или создать еще одно с наложенным на него ALG.

Порт управляющего соединения 21-й.
Щас упростил для теста ... на фареволе 1 правило .. разрешить всё из LAN1 на WAN1. В NAT тоже одно правило.

Речь идет о пассивном режиме FTP, когда он использует только исходящие TCP соединения.

Решил сам вязться и написать свой FTP так как подметил что несколько клиентов фтп что я пробовал используют команду PORT когда не нужно, даже когда я говорю им работать в пассивном режиме.

Клиент на основе 2-х обычных TCP клиентов, что у меня давно используются в куче программ.

Написал .. пробую дома всё ок .. подключается управляющее соединение, я логинюсь потом даю команду PASV .. получаю адрес и порт куда подключаться и вторым TCP клиентом спокойно подключаюсь ..

далее в управляющем соединение даю команду LIST и в соединение для данных нормально передается содерживое каталога на сервере .. всё ок ...

227 Entering Passive Mode
150 Connection accepted

Пробую на машине за фареволом .... и не работает .. выдает ...

В чём может быть проблема то ? ...

работают 2 обычных исходящих TCP то .. причем один нормально пашет а второй нет .. более того после того как пытаюсь открыть соединение для данных то в управляющее соединение получаю сообщение 426 ...

227 Entering Passive Mode
426 Connection closed; transfer aborted.

Обновите прошивку до http://ftp.dlink.ru/pub/FireWall/DFL-15 ... 0529105509).bin, после попробуйте еще раз.