![]() |
![]() |
MIRON 25.06.2004 - 11:10 | при подключении через DSL запросы к FTP-серверу (приложение,запущенное на компьютере) по внешнему IP (модем настроен как маршрутизатор) FTP-клиент не может подключиться к серверу. При подключении через DIALUP все работает. Никаких фаерволов не установлено (хакеры, вперед). |
ma[DD]og 1 - 25.06.2004 - 11:19 | Выпусти зайчика, дай свой ip |
MIRON 2 - 25.06.2004 - 11:55 | Поздно - установил фаервол. |
leschakon2003 3 - 25.06.2004 - 13:05 |
Эжели юзеры не могут подключиться через твой линукс к внешнему FTP то подргузи 2 модуля дополнительно /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp в скрипте , там где у тебя IPTABLES. Не помню какой из них за что отвечает, когоче грузи 2 штуки. У меня такая же фигня была в RH7.2 |
MIRON 4 - 26.06.2004 - 03:01 |
(3)гм... большое спасибо,мне очень лестно что ты так обо мне подумал,но у меня пресловутый виндовс. Да и ,видимо,я не совсем точно сформулировал проблему. Имеем: IP адрес 83.ххх.ххх.ххх (маска 255.255.255.25х). Это внешний IP самого DSL модема. Модем соединяется с компом посредством LAN. комп имеет IP 10.0.0.х . На компе запущен ftp-сервер. Задача: чтобы пользователи извне могли обращаться к этому ftp-серверу. Так вот, при обращении на этом же компее по адресу 10.0.0.х все,есессна, работает: отображается содержимое корневого каталога ftp-сервера. Тут,видимо ,дело в настройке конкретной модели модема. Как сделать так,чтобы при обращении по адресу 83.xxx.xxx.xxx модем запрашивал тоже самое с IP 10.0.0.х ? |
оопс 5 - 26.06.2004 - 03:35 |
Cдается мне, что не настроено преобразованние адресов/портов. Если поднят РАС сервер, то в нем надо указать порт маппинг, например, слушаем на внешнем интерфейсе по порту 21 и передаем на порт 21 по адресу ххх.ххх.ххх.ххх (адрес в локальной сети). Если РАС не поднят, то в фаерволе указываем преобразование - данные с внешнего интерфейса порт 21 передаем на соответствующий адрес локальной сети порт 21 :) НО:если проблема в том, чтобы достучаться до фтп сервера из лок сети, то надо для win2k/xp - в домене w2k/w2k3 в DNS создать соответствующий алиас (например, ftp.FullyQualifiedDomainName is an ALIAS (CName) for 192.168.1.128 :) |
оопс 6 - 26.06.2004 - 03:40 |
Для твоего конкретного случая надо сделать преобразование адресов 83.ххх.ххх.ххх в 10.0.0.х порт 21. Делов-то - куча :)))) |
MIRON 7 - 26.06.2004 - 15:26 |
Спасибо,но все гораздо проще и от этого все сложнее :))) ОС: W2k prof. Firewall - отключен (на время тестирования). Локальная сеть,состоящая из модема (10.0.0.2 - он же шлюз) и непосредственно компа (10.0.0.9). Обращаемся по внешнему адресу 83.ххх.ххх.ххх на порт 21. НУ И ЧТО? у модема нет FTP сервера и запросы на 21 порт ни к чему не приведут! Вот в том-то и задача: как прописать в модем чтобы он,сволочь, ретранслировал запросы, поступающие на внешний IP (83.ххх.ххх.ххх) на IP в локальную сеть на адрес 10.0.0.9? |
MIRON 8 - 26.06.2004 - 15:40 | (6) да это понятно,что надо сделать преобразование адресов,да вот только прописать преобразование надо ,видимо,в самом модеме...вот только как? |
Nicolay 9 - 26.06.2004 - 15:52 | А не проще ли настроить модем мостом, а не маршрутизатором и в свойствах TCP/IP сетевой карты задать адрес 83.xxx.xxx.xxx т.е. реальный? |
MIRON 10 - 26.06.2004 - 18:00 | Да я вот склоняюсь к этому решению,но как насчет безопасности? Ведь если модем имеет свой IP,а сам комп другой IP,то сколько не долби внешний IP модема по портам - нихрена не добьешся - модем-то по сути бестолочь... |
aNt 11 - 26.06.2004 - 19:16 |
модем имеет свой ральный ip, соединение одно, никаких ppp нету.. ты сидишь за устройством, фаервола не надо.. по поводу ftp так зайди в настройки мопеда и сделай преброс порта на внуттреню сеть в расе если включен фаирвол просто открыть порт в фильтрах чтоб юзеры из нутри могли ходит на фтп |
MIRON 12 - 26.06.2004 - 21:53 | (11) ДА,а вот как сделать переброс порта во внутреннюю сеть? там в настройках момеда есть VIRTUAL SERVER,где необходимо указать внешний порт и внутренний порт и IP хоста. Дабы особо не выпендриваться указаываем внешний и внутр. порт 21, а IP хоста ставим IP сетевой платы компа (10.0.0.9) вроде так? но ничего не работает... |
MIRON 13 - 26.06.2004 - 21:55 | т.е. при обращении к фтп серверу по внешнему IP фтп-клиент показывает козью морду |
zuav 14 - 26.06.2004 - 22:38 |
Я правильно понимаю топологию ISP->modem c IP, назначенным ISP->server с модемом на одном интерфейсе и сетевая карта, соединенная с LAN, на другом ? |
MIRON 15 - 26.06.2004 - 22:49 | Почти. ISP -> modem c IP, назначенным ISP, который который подключен через LAN к домашнему компу. Все. |
MIRON 16 - 26.06.2004 - 22:52 | т.е. СЕТЬ только из двух устройств:модема с внешним IP, назначенным ISP, входящим во внутр. сеть в которой ему присвоен по DHCP 10.0.0.2, и собственно комп с IP 10.0.0.9 также по DHCP |
zuav 17 - 27.06.2004 - 00:06 |
Извини... А модем куда воткнут на твоем домашнем компе ? |
lithium 18 - 27.06.2004 - 00:07 |
1. Почитай инструкцию. 2. Сделай переброс 21 порта на ip, ftp-сервера. Активный сеанс при правильном firewall у клиента должен работать. 3. Если при пассивном соединении логин будет, а листинг и передача файлов -- нет, то установи на сервере принудительно диапазон портов для пассивного подключения (правильный ftpd должен это уметь) и сделай их переброс на сервер на модеме. Этого должно быть достаточно. |
MIRON 19 - 27.06.2004 - 00:31 |
17. ADSL модем-маршрутизатор является внешним устройством со своим внешним и внутренним IP-адресом. Подключен к сетевой плате. 18. Вот если б была инструкция... Что-то я вижу то ли я не так выражаюсь,то ли все помешаны на сетях и серверах с дикими таблицами маршрутизации и аппараттными фаерволами :))) -- Я ж говорю: это домашний комп с W2k prof без всяких наворотов. Через DSL просто хожу в Инет и получаю почту. Но для того,чтобы я имел доступ к файлам на домашнем компе из офиса или других мест, установил у себя фтп сервер, который не работает,если обращаться к нему по внешнему IP. Не работает напрочь! Если обращаться к нему по внутр. IP (10.0.0.9) то все замечательно работает. Далее проблема описана в (0) и подробнее в (7). Сорри,если туманно выражаюсь... |
lithium 20 - 27.06.2004 - 00:36 | imho в 18 я все довольно ясно обяснил. Если не получается понять/сделать -- позови специалиста. |
MIRON 21 - 27.06.2004 - 00:48 |
спасибо,но я все понимаю. в принципе (я уже писал об этом выше) проблема сводится к "Сделай переброс 21 порта на ip, ftp-сервера" КАК ЭТО СДЕЛАТЬ НА КОНКРЕТНОЙ МОДЕЛИ МАРШРУТИЗАТОРА (может кто имел с ними дело)? о том, как я пытался это сделать я указывал в (12). |
lithium 22 - 27.06.2004 - 00:49 | тут уж сорри, у нас только зухели, там я могу сказать как это сделать... |
zuav 23 - 27.06.2004 - 00:49 |
В том то и дело, что для меня это - туманно :( Потому что у меня на работе ADSL модем воткнут в сетевую карту и что там у самого модема - меня не трахает ни разу, главное, что на сетевой карте я прописываю адрес (статически), который мне назначил ISP. И именного с этого адреса я в RRAS прописываю проброс на внутренний FTP. |
MIRON 24 - 27.06.2004 - 00:54 | а,ну правильно,у тебя сам модем настроен не как МАРШРУТИЗАТОР,а как МОСТ. т.е. внешний IP = IP сетевой платы компа. Если я настрою модем таким образом (т.е. как мост),то естественно, все будет работать. НО! все упирается в безопасность! см (10,11) |
MIRON 25 - 27.06.2004 - 00:56 | 22, спасибо. может расскажешь как ты делаешь это на зухеле,а я по аналогии постараюсь применить это на моем модеме? если ,конечно,не сложно... |
Nicolay 26 - 27.06.2004 - 01:16 |
http://adsl.kuban.ru/doc/auslinx.pdf почитай. |
lithium 27 - 27.06.2004 - 01:18 |
;)))) а на зухеле, я иду на их официальный сайт в России, скачиваю русскоязычную документацию и настраиваю по ней ;) Ты уж извини, сейчас под рукой только ADSL-коммутаторы, все клиентские модемы -- у клиентов и посмотреть вживую настройки на них могу только в понедельник. Если все еще будет актуально -- подними тему, если уйдет вниз. |
Nicolay 28 - 27.06.2004 - 01:18 | Пункт 2,2,4 - проверь по аналогии... |
MIRON 29 - 27.06.2004 - 01:26 | 28.Есть у меня этот пдф. и с FTP enable/disable я игрался. когда его делаешь enable, то сам модем открывает у себя 21 порт и мы имеем возможность лицезреть кишочки модема... |
zuav 30 - 27.06.2004 - 01:27 |
Честно говоря, ты меня убил проблемами безопасности Установить какой-нить там керио фаервол - 5 минут максимум, не вижу проблемы никакой. Тем более для домашнего компа. Там вообще можно смело юзать встроенный от Майкрософт фаер (ХP/2003). ----- ЗЫ Мне провайдер не сообщал никаких дополнительных настроек адсл модема. Просто поставил модем и сказал адрес внешнего интерфейса сетевой карты. На этом все и закончилось. |
MIRON 31 - 27.06.2004 - 01:35 | (30) смеюсь, установить фаервол вроде как не проблема... просто пытаюсь найти решение для такой вот задачи (0)... да и не охота программный фаер использовать... |
zuav 32 - 27.06.2004 - 01:39 | Типа я тоже смеюсь - для домашнего компа, c которым хотят связываться только с работы, и такая вдруг головня боль :) |
MIRON 33 - 27.06.2004 - 01:53 | Просто на работе установили аппаратный фаервол. (Надо сказать,что работа - обычный маленький офис). Я тогда смеялся: на кой хрен в маленькой конторе аппаратный фаер? Кому к черту понадобится ломится на неизвестный абсолютно ничем сервер? Но когда мне показали логи отраженных атак - обломился... |
zuav 34 - 27.06.2004 - 01:59 |
Ну...по части атак на неизвестный никому, кроме узкого круга лиц, сервер - спорить не буду, сам проходил. И тоже сильно удивился - кому это мы, на хрен, понадобились ? :) Но, может, у тебя проблема в настройках аппаратного фаера на работе (особенно с учетом того, что через диалап все работает) ? |
MIRON 35 - 27.06.2004 - 02:07 | Нет, нет. проблема очевидна (7). Я запускаю клиента на том же компе,где запущен сервер. только если обращаюсь по внутреннему IP 10.0.0.2 все ок.А если по внешнему,то не работает. Надо сделать так,как описано в (12). вот только не работает так... |
zuav 36 - 27.06.2004 - 02:14 |
Боюсь, что в данной теме никак не обойтись без упоминания модели модема и настроек, которые дал провайдер. Итак, who is who - в студию |
aNt 37 - 27.06.2004 - 02:20 |
а так ты не можешь зайти обращаясь по внешнему ип сам на себя?тогда скажу сразу ничего не выйдет :-) если не могут вообще из вне попасть значит криво настроено насчет фаервола еще раз, нафиг он не нужен.. сидим все равно за девайсом то, разве что тебя кто то внутри сети ломать не будет :-) и еще поменяй дефолтный пароль на админство у девайся )) |
MIRON 38 - 27.06.2004 - 02:24 | Рад представить уважаемой публике чудо DSL маршрутизатор AUSLINX! по-моему в районе 30 баксов. Как стало ясно модем основан на чипе conexant (о чем свидетельствует логотип в HTTP интерфейсе). Повторюсь, что момед настроен как маршрутизатор между компьютером и Инетом, образуя локальную сеть с компьютером. |
zuav 39 - 27.06.2004 - 02:49 |
http://www.stream.ru/stream-dev-man - найдено 1-м пунктом по поиску строки "AUSLINX" При беглом взгляде - dhcp должен быть отключен, адресация статическая |
zuav 40 - 27.06.2004 - 02:51 | Это - оно ? (поиск был в ya.ru) |
MIRON 41 - 27.06.2004 - 03:05 | Да, я тоже там и также искал, эту ссылку видел. Пытался найти инструкцию. Момед настроен провайдером. DCHP - включен. адресация динамическая. |
zuav 42 - 27.06.2004 - 03:23 |
Ну...тогда путь 1 - и это самый короткий - звонок провайдеру, который настраивал модем, и короткий приказ - хочу фтп сейчас и сразу. И когда пров это сделает - настройки в студию (чтобы все знали что почем) :) |
aNt 43 - 27.06.2004 - 16:09 |
MIRON ответь на пост в 37 вопросе ты пытаешься сам ан себя зайти по внешнему ип? |
MIRON 44 - 27.06.2004 - 16:44 |
(43) О, не заметил пост 37 :(( Да, именно так и пытаюсь и сам понимаю,что ничего не выйдет... только по локальному IP получится... см. пост (7) Так вот ведь вопрос: как сделать так,чтобы работало? Да, насет пароля все правильно,а то он и по телнету и по хттп замечательно администрируется... |
aNt 45 - 27.06.2004 - 21:13 |
да по внешнему и у меня не ходит :-) дело где то на уровне марштуризации... наверно нужно долбить суппорт возможно в суппорте что скажут :-) веб то закрыт снаружи а вот телнет открыт, причем у большиства клиентов у ютк.. по статистике из 20 на 16 стоит дефолтный пасс :-) ксатати кто хочет ломитесь в ирц на 83.239.2.154 6667 порт |
MIRON 46 - 27.06.2004 - 21:45 |
>83.239.2.154 6667 порт Это что такое? |
MIRON 47 - 27.06.2004 - 21:49 |
вот они,родимые... узнай папочку..: http://www.auslinx.com.tw/adsl.htm но легче не стало... |
MIRON 48 - 28.06.2004 - 11:02 | Ну что,товарищи,что делать-то будем с различными серверами и сервисам через маршрутизатор? |
MIRON 49 - 28.06.2004 - 16:47 | отправил запрос в службу поддержки.... |
aNt 50 - 28.06.2004 - 17:35 |
в том и фокус что снаружи они доступны а из нутри нет ))на примере того дже ирц :-) интересно что тебе ответят а там я был... )) |
MIRON 51 - 30.06.2004 - 01:12 |
Спасибо службе тех. поддержки пользователей. Вот их ответ: >В настройках модема есть пункт DMZ. Пропишите там ваш приватный адрес. >Должно работать. Действительно, такой пункт есть. включил его (enable), Прописал приватный IP. |
MIRON 52 - 30.06.2004 - 15:02 |
Оказывается, DMZ тут не при чем! Достаточно сделать то, что я проделывал в (12). Только вот незадача: ПОЛЬЗОВАТЕЛИ ADSL от ЦНТ не имеют доступа к FTP-серверам! Тестирование: открыл у себя ftp-сервер. попросил нескольких знакомых посетить корневую папку. Статистика следующая: дайлапщики и ISDN-щики не от ЦНТ посетили сервер успешно. Пользователи ADSL от ЦНТ: access denied! Причем, в абсолютном выражении пользователей было три, один я сам, второй с таким же момедом как у меня AUSLINX, третий с модемом ZYXEL, настроенным как мост. Более того, я сам попытался посетить какой-нибудь фтп-сервер и что вы думаете? |
Nicolay 53 - 30.06.2004 - 17:06 | Ничего не думаем. Все прекрасно работает. И на внешние FTP заходим, и на внутринние. |
MIRON 54 - 30.06.2004 - 17:52 |
специально полазил по нек-рым серверам... действительно работает... НО НЕ НА ВСЕ СЕРВЕРА МОЖНО ЗАЙТИ. Да и как же тада объяснить факт,что на мой фтп не могут зайти adsl-щики от ЦНТ... все отстальные - могут... Фтп сервер кривой? да пробывал еще одну прогу... все аналогично... |
aNt 55 - 30.06.2004 - 19:23 |
ненаю я на твой зашел.. Nicolay а ты без дмз по внешнему ip на себя попробуй зайти :-) |