Пользуем Dlink 260E.
Никаких доп настроек не делали.
Пользуем также FTP клиент FileZilla.
Не хочет проходить аутентификация в режиме FTP over SSL (explicit
encryption)
В окне FileZilla
выдает AUTH SSL ошибка 500 command not understood.
В режиме FTP всё работает нормально.
Опытным путем установлено что при ежели убрать Dlink 260E, то режим FTP
over SSL (explicit encryption) работает.
Вопрос: где чего подправить в Dlink 260E чтобы работать в режиме FTP
over SSL (explicit encryption) в FileZilla

Я так понимаю, ваш режим шифрует весь трафик, что делает невозможным использование FTP ALG
При single connection (passive mode) все будет работать нормально
Или как вариант спортмапьте все FTP порты + отключите FTP ALG

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Нужно сказать что описано было для пассивного режима.
Не понятно что есть "спортмапьте все FTP порты"
Если речь идет о пробросе к примеру 21 порта, то нужно попробовать.
Отключить ALG не могу потому как при создании ftp сервиса я по любому должен выбрать ALG какого то типа.

http://geekswithblogs.net/Lance/archive ... 50912.aspx
есть там такая как мне показалась правдивая статья вот её содержание
I have this Problem too, passive connection works without Auth-TLS encryption...

Server:
My FTP server is at home behind a NAT, FTP-Port 21 and passive port's are routed to the FTP server...
Client:
I'm connecting from my company, which is behind a firewall with outgoing port's blocked except 21.
If I connect to my server WITHOUT encryption, the server tells the NAT of my company the passive port which opens this one for outgoing connections. The NAT now tell the client the port which connects without any problems...
If I connect to my server WITH encryption, the server tells the NAT of my company the passive port but the NAT can't read it beacause it's encrypted and thats why the NAT doesn't open this outgoing port. Now the NAT sends this encrypted package to the client which CAN read it... Now if the client tries to connect it won't work because the NAT did not open the port earlier...

И ежели я правльно понял статью то Nat пересылает пакет клиенту, но при этом не открывается порт 21 для обратного пакета. И ежели 21 порт сделать открытым всегда то должно работать.

Чтобы быть точнее, не NAT, а FTP ALG
Естественно, шифрованное FTP соединение не может быть обработано ALG т.к. оно закрыто от DFL

Касательно настройки - вас никто не принуждает к выбору ALG при создании нового сервиса по TCP 21 порту, проблем с этим нет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

создал новый сервис ftp_for_Filezilla аналогично ftp-passthrough но в поле ALG - none
и правила
SAT - any - all nets -wan_ip - ftp_for_Filezilla ( в закладке SAT поле [Desination adress] указал адрес компа с которого соединяюсь с ftp сервером
Allow - any - all nets -wan_ip - ftp_for_Filezilla

Догадываюсь что в правилах что-то не то, потому как соединяться нужно не только с конкретного адреса, а с любого компа из офиса. Но с другой стороны в первом правиле
SAT аппарат требует выбрать из списка значение в закладке SAT.
Вобчем каменный цветок не получился, будем ждать совета данилы-мастера.

Allow - any - all nets -wan_ip - ftp_for_Filezilla
___________________core

в обоих правилах и еще
Надо сделать NAT loopback выше ваших правил SAT+Allow
1 SAT lan/lannet core/wan_ip all_services
2 NAT lan/lannet core/wan_ip all_services

и ни какго данилы не надо

зы ну надеюсь не надо договаривать что сделать с вашим новоиспеченным сервисом

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

ну да. ошибся я в правилах что написал пропущены при ответе, но реально были выставлены
SAT any/all-nets core/wan_ip ftp_for_Filezilla
Allow any/all-nets core/wan_ip ftp_for_Filezilla

всё таки вопрос остался что делать в закладке SAT в первом правиле? оно ж требует выбрать конкретный адрес в полях destination/source, или это не имеет никакого значения?

Это почти правильные source/destination - уже будут работать
Более корректно будет вместо any использовать wan

Но, кроме 21 порта, вам надо смаппить еще и порты данных (посмотрите в настройках сервера)
Сделайте еще один сервис с диапазоном, потом из ваших сервисов сделайте группу и используйте в SAT/Allow

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Откровенно говоря посмотреть на сервер я не могу. Он где-то там, в стане далекой.
Хотя конечно, скинуть сервисы в группу для красоты дело хорошее.
Для начала можно поставить all_service и посмотреть будет ли это работать.
Все таки один вопрос остался: правило SAT требует указать частный адрес, причем один. Диапазон там не проходит.
причем опять же Translate to Source Ip или Destination Ip, нужно что-то выбирать.

Ну уж тогда не all_services, а хотя бы all_tcp + выше лимитируйте (drop'ом) опасные порты типа RDP, админки той же FZ и т.п.
Для трансляции диапазона не надо указывать новый порт, только new destination, ровно как по FAQ

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну так правильно, только destination это ж могет быть не один комп а несколько, ктороые пользуют клиентов FileZilla.
А диапазон IP ежели вы такой заведете адрес бук, то при выборе он его просто не покажет, а даст возможность выбрать только один.

Вопрос, что должно стоять в destination закладки SAT правила SAT? wan_ip, lan_ip или private_ip

Вот теперь вопрос уточнился до того, что у вас оказывается клиент, а не сервер за DFL
Используйте пассивный режим

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну так про то что клиент было написано еще в первом сообщении. И про то что используется пассивный режим тоже. Написано также что в пассивном режиме пробленма не исчезает, и что с подобной проблемой для клиента сидящего за фаеволом столкнулся не только я (читайте по англицки в сообщении выше). Обращение в поддержку DLINK напрямую ничего не дало, акромя совета заменить сервис с антивирусом на сервис без антивируса.