29. august 2002 - 22:19Der er
36 kommentarer og 1 løsning
Flere FTP servere bag router på forskellige porte
Jeg kører en serv-u ftp server på port 21 bag en cisco 677 router, herudover skal jeg køre en proftp på slack løsning, denne kører på en anden port. Lokalt virker det fint, men når en klient kobler til ftp-serveren igennem routeren skrives der i proftps log: "Refused PORT 192,168,1,4,12,158 (address mismatch)." Jeg har også prøvet at skifte serv-u til at have en anden port end 21, og ligeledes forwardet denne anden port til serveren. Dette virker heller ikke med serv-u.
ProFTP virker fint gennem routeren på port 21. Det samme gør Serv-U. Det må være et generelt FTP problem når der skiftes port?
Har du godkendt FTP trafic igennem den port (ikke port 21)??? Du kan slå hele firewallen fra på den ene ip og køre software firewall på den. Må jeg foreslå sygate firewall som softwarefirewall?!?
Ja, serv-u er nemt at sætte op, proftpd skal kun bruges til en enkelt bruger til en enkelt folder. hvis proftpd gør det, hvordan kan d så være at det virker hvis jeg blot forwarder port 21?
Hvordan ser dine NAT routninger ud i Cisco 677?? er alle mappet til en IP eller port ? i såfald. Kan du prøve med denne commando cbos#>SET NAT ENTRY ADD 192.168.1.5 8021 0.0.0.0 8021 TCP
Herefter vil routeren sende alt traffik til port 8021 over til IP 192.168.1.5
Jeg forstår ikke rigtigt. Hvis du aligevel skal sætte proftpd op til en bruger så er den jo konfigureret? Hvorfor bruger du så ikke selv den? Det er altså lidt "gak" at have 2 forskellige ftp servere kørende :ø]
grunden til at den kommer med: "Refused PORT 192,168,1,4,12,158 (address mismatch)." er at den prøver at lave en passive ftp connection. Hvis du fx. bare skal have en normal ftp, kan du natte både port 20 og port 21... Så er du sikker på at den kan få forbindelse. Hvordan man så skal gøre det hvis der skal være en alternativ ftp på en anden port ved jeg ikke. Men jeg vil gå ud fra at du igen skal have 2 porte (tæt på hinanden) nattet.
det er som dank siger, noget klienten gør. den får derefter at vide af serveren at den skal oprette en forbindelse til en specifik ip, på en en specifik port (i dit tilfælde: "Refused PORT 192,168,1,4,12,158 (address mismatch)." ) det skulle så gerne være at din interne ftp står på 192.168.1.4... den kan klienten selvfølgelig ikke få fat i... :)
Men uanset om klienten bruger passive eller non-passive så åbnes de aligevel. Som jeg forstår det er spørgsmålet mere om det er
port 20 eller "nogle andre" port. Ved non-passive benyttes port 20 altid - ved passive bliver andre porte (dynamiske) hvilket giver rod med din firewall.
Har du behov for å bruke de to ftp serverne samtidig eller er det ok å bruke en ad gangen ?
FTP i passive og/eller active mode bruker ellers ikke 2 men fire porter, port 20, 21 og to andre mer eller mindre tilfeldig valgte porter i en høyere nummerserie. Hvem som setter opp de tre siste portforbindelsene varierer med active og passive mode. Der av oppstår diverse firewallproblemer. (For eksempel når serveren forsøker å sette opp forbindelse mot en tilfeldig port på klienten der firewall gir alarm: Forsøk på inntregning.)
=> langbein begge ftp servere samtidig på forskellige porte. Hvorfor er det muligt at ftp'e med kun port 21 åbnet, når det ikke er nok bare at åbne den ene ftp port der ikke er port 21?
Jeg mener at det neppe er praktisk mulig å kjøre flere samtidige ftp servere bak en nat firewalling/router i hvert fall med utgangspunkt i de ordinære eller vanlige ftp serverne som er i bruk. Hvis man der i mot kunne være fornøyd med å kunne ha tilgang til en ftp server ad gangen, så kan det imidlertid godt la seg gjøre. Da lager man eventuelt flere alternative firewall/roting scripts slik at hver av scriptene gir routing til hver sin ftp server. Følgelig blir det bare tilgang til en ad gangen når hvert av scriptene kjøres, for eksempel via ssh.
ftp active mode bruker port 20 og 21, ftp passive mode bruker port 20. (Eller var det omvendt ?) I tillegg så bruker både active og passive mode et par porter i portserien 1024-65xxx. ftp er en litt vanskeligere protokoll å route enn for eksempel webserver (port 80) fordi ftp benytter flere porter, samtidig som komunikasjonen skjer på en måte som er litt mer komlisert.
Man kan også route til to forskjellige servere på lan dersom det er slik at den ene klienten alltid skal til den ene serveren og den andre alltid til den andre. (Firewall kan settes opp til å sjekke avsender ip og framsende til rett server på basis av dette.)
Kan man finne fram til en ftp server (og ftp klient også) som ikke bruker port 20 og/eller port 21 så vil det være mulig å route fram på basis av forskjellige adresserte porter mht portnummer.
I all enkelhet når firewall/router skal sende pakkene til den ene eller den annen server så må den ha noe å sortere pakkene ut i fra. Dette kan for eksempel være den portnummer som serveren kjører på eller det kan være av sender ip'en, men ett eller annet må det være.
Denne diskussion er vist forældet uden fremskridt.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
