Работа FTP-клиента за Роутером

[-user-]

Тема не особо касается именно Микротика, но все же касается его как роутера

Подскажите пожалуйста, как лучше сделать. Кто как делает у себя.

Я параноик... по этому последними правилами стоят:

Код: Выделить всё

add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward

Выше этих правил разрешающие input, output, forward именно на те порты которые нужны.
в NAT - только правило "src nat маскарадинг" на WAN порту роутера.

естественно в таком виде FTP клиент за роутером не может подрубиться к FTP серваку в инете.
Открывать порты 1024-65535 для forward в фаерволе, как-то параноя мешает... Добавление к правилу L7 сигнатуру FTP не помогло, видать она ловит именно "Привет" от клиента... сильно не вдавался, так как не подошло это L7
DST-NAT диапазона портов (может не сработало потому что диапазон, но вроде можно диапазон по мануалам Микротика забивать), заданных предварительно в filezilla на активный режим, не помогли - клиент сбрасывает в пассивный режим.
Как поступить в моем случае?

PS: порты 20-21 для forward разрешены (ну с разрешенными TCP 1024-65535 все работает, но не катит такой вариант)
Клиент FTP, который за роутером, может быть и Файлзилой... т.е. хоть какой-нибудь оптимальный под мои паранои вариант бы - не важно пассивный/активный.
???
PPS: FTP-proxy в Микротике вроде не нашел... Может какой-то неКостылный вариант с имеющимся проксиком в микротике можно провернуть?

[gmx]

Зачем самому себе создавать трудности, а затем их героически преодолевать?

Простейший вариант открывать порты на момент работы клиента, а затем закрывать.
Типа bat файлом через SSH.

Ну так вообще-то вам проще арендовать сервер в инете, скачивать инфу на него, ну а уж потом как забирать с него - это другое дело, есть и веб клиенты, бывают и специальные утилиты для синхронизации, хотя они тоже определенные порты используют.

[-user-]

Зачем самому себе создавать трудности, а затем их героически преодолевать?

Ну в целом никаких трудностей не создавал. Обычный вариант обезопасить, допустим, корпоративную сеть и юзеров самих от себя.

Нужно при минимальном открытии портов, сделать возможным заходить, например, на ftp://ftp.dlink.ru (любой ftp)

проще арендовать сервер в инете

нуууу, куда это Вас
задача: зайти на FTP через роутер, не открывая на_ружу 64 тысяч портов.

[DeLL]

Хотите обезопасить корпоративную сеть и юзверов? Создайте VPN-сервер и пусть юзверь сначала подключится, а потом уже делает внутри вашей сети все что угодно без всяких пробросов и прочего. При этом весь трафик будет еще и шифроваться)

[-user-]

Хотите обезопасить корпоративную сеть и юзверов? Создайте VPN-сервер и пусть юзверь сначала подключится, а потом уже делает внутри вашей сети все что угодно без всяких пробросов и прочего. При этом весь трафик будет еще и шифроваться)

Мужики, Вы чего? о чем речь?
есть задача, на определенных условиях... Зачем мне давать юзеру в инет все порты, чтобы он мог подрубить (для примера, не надо говорить что его надо резать так-то и так-то) тот же тимвьювер... если мне нужно дать юзеру инет, но только HTTP и FTP и ничего лишнего.

[DeLL]

Пардонте, заново прочитал первый пост)
А что если динамически открывать порты для тех IP-адресов, которые стучатся наружу на 21 порт?
Прошел запрос на 21 порт, добавить в адрес-лист IP откуда стучатся и разрешить данному адрес-листу еще кучку портов на некоторое время

[-user-]

А что если динамически открывать порты для тех IP-адресов, которые стучатся наружу на 21 порт?
Прошел запрос на 21 порт, добавить в адрес-лист IP откуда стучатся и разрешить данному адрес-листу еще кучку портов на некоторое время

ну в принципе, да - на первый взгляд - вариант ... я так понимаю осуществляться в основном будет АдресЛистами...



Какие еще есть предложения...?

[podarok66]

А просто настроить клиента? Например указать точно порты, по которым работать в ftp?

Что мешает Вам уменьшить диапазон портов до скажем десятка? Или такой подход слишком ламерский?

[-user-]

настроить клиента? Например указать точно порты, по которым работать в ftp?

Не проблема, если кто-то пробовал подскажите, что настроить на роутере тогда надо...
На клиентской части выбираются порты - это и есть для активного режима FTP, т.е. клиент вместе со словом "Привет", отправляет серверу еще и порт по которому к клиенту он может подключиться (было бы достаточно и портов 100-500, меня бы это устроило.)... Т.е. я сделал тут DST-NAT на IP:port машины юзера...
Вот я в первом сообщении и написал, что пробовал (ведь надо же как-то серверу дойти до клиентского порта) диапазон портов, указанные в клиенте, DSTNAT-ить на IP компа юзера... но не сработало у меня, и клиент после неудачных попыток активного переходит в пассивный режим...
Я чувствую, что у меня руки где-то скривили, но не пойму где...
И все возникает вопрос про то, когда подключено множество юзеров, то уже все эти пробросы, DST-NAT уже не подойдут у меня пока мыслей нет.. как это осуществить... попробую придумать чего-нить на предложенную тему про открытие портов по стуку на 21 порт... но пока не знаю по какому "сигналу" прекращать юзеру доступ ко всем портам (возможно по "таймеру").

Или такой подход слишком ламерский?

можно и без сарказма

[vqd]

непонятно зачем аутпут резать, ну да ладно.

У вас клиент в любом случае с начало ломится на 21 порт, потом уже появляются пул портов. Кто мешает создать правило которое будет в адрес лист добавлять адрес назначения на некий промежуток времени. А в фаерволе уже создать соответствующее разрешение

Таким образом некто из вашей сети ломанулся на ФТП сервер, микротик это увидел и открыл порты для этого ФТП что бы обмен пошел. Через некоторое время адрес лист грохнется и порты закроются