Не работает!

Схема:
Клиент - DFL-700 - инет - DI-804HV - FTP-server.

DFL-700:
Статический внешний IP, прошивка 1.32.
Правила:
LAN-WAN:
#1 drop_smb-all Drop Any Any smb-all (Стандартное)
#2 allow_ping-outbound Allow Any Any ping-outbound (Стандартное)
#3 allow_ftp-passthrough Allow Any Any ftp-passthrough (Стандартное)
#4 ftp_out Allow Any Any ftp-outbound(TCP+UDP->21)
#5 ftp_out2 Allow Any Any TCP+UDP All -> 20
#6 ftp_in Allow Any Any ftp-inbound
#7 allow_standard Allow Any Any All Protocols (Стандартное)
Добавленные к стандартным 4м правила были добавлены по очереди, после каждой безуспешной попытки захода на внешний фтп.

WAN-LAN:
#1 ftp_in Allow Any Any TCP+UDP All -> 20
#2 ftp3 Allow Any Any TCP+UDP All -> 21
#3 FTP2 Allow Any Any TCP+UDP All -> 1024-5000
#4 All Allow Any Any All Protocols
Эти правила тоже были созданы одно за другим.. После каждой неудачной попытки выхода на внешний фтп.. Сначало было сделано 4е правило - для обеспечения обратной связи от фтп.. Но, т.к. оно не помогло, на всякий случай были заведены остальные правила.. Для пассивых и активных соединений..

DI-804HV:
Статический внешний IP, прошивка 1.38(Ее поставили в сервис-центре ДЛинк, потому что на всех остальных версиях прошивок фтп вообще не хотел работать!!).
Правила:
ФТП сделан через Virtual server:
FTP1 192.168.0.12 Both 20 / 20 always
FTP2 192.168.0.12 Both 21 / 21 always
FTP Server passive mode2 192,168.0.12 Both 1024 / 5000 always
До установки DFL-700 в удаленную сеть, для работы по фтп хватало первых двух правил.. Последнее правило было добавлено от безысходности.. После неудачных попыток захода на фтп. Так же были испробованы различные варианты третьего правила.. Диапазон 1024-5000 полностью не отрывался в Virtual Servers. Зато ради эксперимента был открыт в фаерволе.. Что тоже не помогло.
Allow Allow to Ping WAN port WAN,* LAN,* ICMP,*
Allow Default LAN,* *,* *,*
Allow FTP_passive WAN,* LAN, 192,168,0,12 TCP,20-65535
Последнее правило открывает некоторые лишние порты...

Народ! У кого работает фтп за этими девайсами! Как это сделать??

Были протестированы несколько фтп-серверов - MS FTP и g6ftp - результаты тестирования идентичны! Как и после добавления каждого нового правила на обоих девайсах!

Настройки клиента были испробованы как активном, так и в пассивном режиме.
В активном режиме просходит обрыв соединения после команды LIST (по таймауту).
В пассивном режиме соединение тоже обрывается.. Но! Есть возможность создавать каталоги! Которые так же не видны! МОжет, кто сталкивался с таким? Подскажите, что еще можно сделать?

Попробуйте выставить ФТП-сервер в DMZ на 804ом.

_________________
С уважением -- Александр Шебаронин.

Не помогает!!! Те же самые ошибки!!!
В активном отваливается при команде ЛИСТ, а в пассивном при входе в пассивный режим!

Вот! Абсолютно идентичная ситуация!!!
http://www.iis-resources.com/modules/ne ... 9&start=20
ХА! Оно у них внезапно заработало.. И все обрадовались.. А как именно - никто и не понял..

яж помоему раньше уже писал что 804 это еще та вещица , я вот теперь ее потехоньку с офисов тытаюсь убрать, если честно с виртуальным сервером не пробовал а просто фтп за 804 тянет на ура. прошивка 1.40 счас вот на свежую думаю поменять

Вот результаты прослушивания пакетов на интерфейсе клиента:

Клиент - DFL-700 - интернет - DI-804HV - FTP-сервер.
Начало фтп-соединения происходит нормально. А после входа в пассивный режим DFL применяет правило FW: TCP_FLAG: rule=TCPUrg action=strip_URG recvif=LAN srcip=192.168.1.240 destip=111.11.11.11 ipproto=TCP ipdatalen=21 srcport=3030 destport=21 ack=1 psh=1 urg=1

При соединении, например, с фтп-сервером ДЛинк, это правило не работает(не появляется). Но при соединении с фтп ДЛинк, их фтп после входа в пассивный режим не меняет IP-адрес на внутренний(так и остается внешним).


Причем, на фтп-сервер, находящийся за DI-804HV, можно заходить только в активном режиме! (просто снаружи, не из-за DFL-700), а в пассивном режиме он так же отваливается по таймауту после команды PASV и попытки прочтения каталога..

Кстати, vytaliz, Вы пишете, что у Вас фтп-сервер работает на ура.. А как? Если не через Virtual-server? Он у Вас в DMZ находится?
Скажите, пожалуйста, а в каком режиме у вас клиенты на этот фтп ходят(который за DI-804м стоит) - в активном или пассивном??

У меня нет вышеописаенных проблем, у меня нет ftp сервиса который я бы предоставлял на ружу 804 я использую как впн роутер на 700 как роутер с поддержкой впн (у меня за 700 в дмз зоне почтарь висит)
из поз 700 и 804 фтипится куда угодно что к прову на его сервак что на другие серваки

решение данной проблемы на DFL-2500 заключалось в следующем:
добавляем SAT для ftp_passtrough
добавляем NAT для ftp_passtrough
ставим эти 2 правила в таком же порядке перед всеми остальными natsat правилами.

Для открытия FTP ннедостаточно открыть только порты 20 или 21 например ftp://ftp.dlink.ru/pub/Router/knowlegeb ... x_pasv.doc

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.