1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 16, 2025 13:23

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Ivan Larionov
 Заголовок сообщения: DFL-800 FTP ident
СообщениеДобавлено: Пн ноя 02, 2009 16:57 
Не в сети

Зарегистрирован: Пн ноя 02, 2009 16:43
Сообщений: 4
Откуда: Ижевск
Добрый день.

Заменили одну из железок на DFL-800, 3 провайдера, один из которых висит на dmz и в него роутится только одна подсеть. В этой подсети висит ftp-сервер, так вот, с ним возникла небольшая проблемка — он 4 раза запрашивает ident и только потом соединяет, что жутко раздражает. На старой железке была политика разрешить все что не запрещено, и поэтому такой проблемы не было. Вопрос — как избавиться от долгого соединения с ftp?

В логах при коннекте такое:

Изображение

На 94 кончается наш ip, на 6 — ip сервера.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 02, 2009 20:04 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Логи логами, а покажите ваши правила.

Смахивает, что FTP вы пытаетесь использовать в активном режиме, не применив при этом ALG.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 08:21 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Сделайте проброс этого порта (TCP 113) на фтп-сервер. А еще лучше чинить ftp-сервер с его "проблемкой" :)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Ivan Larionov
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 11:15 
Не в сети

Зарегистрирован: Пн ноя 02, 2009 16:43
Сообщений: 4
Откуда: Ижевск
rules:

Код:
Contents of ruleset; default action is DROP
#  Act.  Source                 Destination            Protocol/Ports
-- ----- ---------------------- ---------------------- --------------
1  Allow lan:192.168.0.0/24     core:192.168.0.0/24    "ping-inbound"
2  NAT   lan:192.168.0.1-.12, 192.168.0.14-.254 *:0.0.0.0/0            "http-outbound"
3  Drop  lan:192.168.0.0/24     dmz,MARK-PPPoE,NewTONE-PPTP:0.0.0.0/0 "smb-all"
4  NAT   lan:192.168.0.0/24     dmz,MARK-PPPoE,NewTONE-PPTP:0.0.0.0/0 "ping-outbound"
5  NAT   lan:192.168.0.0/24     dmz,MARK-PPPoE,NewTONE-PPTP:0.0.0.0/0 "ftp-passthrough"
6  NAT   lan:192.168.0.0/24     dmz,MARK-PPPoE,NewTONE-PPTP:0.0.0.0/0 "all_tcpudp"
7  SAT   lan:192.168.0.0/24     core:192.168.0.110     "dns-all"
   SETDEST 88.80.32.3
8  NAT   lan:192.168.0.0/24     core:192.168.0.110     "dns-all"


Проброс пробовал, добился только того, что в логах перестало писать про 113 порт, но коннект по прежнему долгий — может я что неправильно сделал?

Код:
11 SAT   *:0.0.0.0/0            core:dmznet  "ident"
   SETDEST dmz_ip
12 Allow *:0.0.0.0/0            core:dmznet  "ident"


Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 11:26 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
dmz_ip (11-е правило) - это и есть адрес сервера? Обычно этим именем обозначается IP на интерфейсе DMZ...

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Ivan Larionov
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 13:41 
Не в сети

Зарегистрирован: Пн ноя 02, 2009 16:43
Сообщений: 4
Откуда: Ижевск
Переделал, в логах чисто, коннект по прежнему долгий.

Код:
11 SAT   *:0.0.0.0/0            core:dmz_net  "ident"
   SETDEST ftp_server_ip
12 Allow *:0.0.0.0/0            core:dmz_net  "ident"


А по поводу сервера — конечно я бы давно на его стороне все исправил, но сервер это не наш.
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 15:43 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Попробуйте 5-е правило временно disable и посмотрите результат.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Ivan Larionov
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 16:39 
Не в сети

Зарегистрирован: Пн ноя 02, 2009 16:43
Сообщений: 4
Откуда: Ижевск
Скорость коннекта не изменилась. Фтп начал на команды отвечать:

Код:
ftp> ls
500 Illegal PORT command
ftp: bind: Address already in use


Можно ли в правилах временно сделать политику разрешить все, что не запрещено?
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 03, 2009 19:47 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Ivan Larionov писал(а):
Можно ли в правилах временно сделать политику разрешить все, что не запрещено?

Конечно. Allow/NAT any/all-nets --> any/all-nets all_services
Поместить на 1-е место в списке правил.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 262

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB