Здравствуйте!
Есть статический внешний IP
В локалке стоит NAS
Провайдер говорит, все настроено
На 2ip.ru опредлеляется статический IP выделенный провайдером
Прописываю правило в IP - Firewall -NAT
General:
Chain - dstnat
Protocol - 6 tcp
Dst.port - внешний порт
In.Interface - Ether1-WAN (думаю, понятно)
Action:
netmap
To addres - адрес NAS внутри сети
To Ports - порт ftp, 21
Ставлю правило над маскарадом
Запускаю подключение по FTP снаружи
В статистике видно, что пакеты идут, а выхода на NAS нет
ЗАДОЛБАЛСЯ!!! Помогите, что может еще быть?
Помогите, пожалуйста, настроить проброс портов
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
ооо, FTP протокол.....это боль...
1) почитайте в WiKi об FTP, а точнее про Пассивный и Активный режим
2) если можете - откажитесь от ФТП для проброса, лучше пробросте другой сервис/службу
3) Процитирую с Вики часть про NAT (у Вас сервер за NAT'ом как раз и находиться):
"NAT и обход брандмауэров
FTP обычно передаёт данные при наличии соединения сервера с клиентом, после того как клиент отправил команду PORT. Это создаёт проблему как для NAT, так и для брандмауэров, которые не разрешают соединения из интернета к внутренним хостам. Для NAT дополнительной проблемой является то, что представление IP-адресов и номера порта в команде PORT относится к IP-адресу и порту внутреннего хоста, вместо публичного IP-адреса и NAT-порта. Существует два подхода к этой проблеме. Первый заключается в том, что FTP-клиент и FTP-сервер используют команду PASV, которая вызывает соединение для передачи данных, установленное от клиента к серверу. Второй подход — изменение для NAT значений команды PORT с помощью шлюза на прикладном уровне."
Отсюда следует:
а.1) Вы должны сервер перевести в Пассивный режим, выделить блок портов и для этого блока портов сделать пробросы,
не забыв также пробросить и главный 21 порт.
а.2) естественно на клиенте использовать пассивный режим и может ещё какие-то дополнительные настройки
б) на уровне софта менять внутри протокола ФТП значения. У Линукса был модуль отдельный к файрволу,
у микротика формально он тоже есть, но я не пользовался им вообще.
ФТП редко, но я использую, но либо в рамках уже туннелей, где серая сквозная адресация и нету НАТа,
или снаружи, чтобы попасть тупо на сервер.
1) почитайте в WiKi об FTP, а точнее про Пассивный и Активный режим
2) если можете - откажитесь от ФТП для проброса, лучше пробросте другой сервис/службу
3) Процитирую с Вики часть про NAT (у Вас сервер за NAT'ом как раз и находиться):
"NAT и обход брандмауэров
FTP обычно передаёт данные при наличии соединения сервера с клиентом, после того как клиент отправил команду PORT. Это создаёт проблему как для NAT, так и для брандмауэров, которые не разрешают соединения из интернета к внутренним хостам. Для NAT дополнительной проблемой является то, что представление IP-адресов и номера порта в команде PORT относится к IP-адресу и порту внутреннего хоста, вместо публичного IP-адреса и NAT-порта. Существует два подхода к этой проблеме. Первый заключается в том, что FTP-клиент и FTP-сервер используют команду PASV, которая вызывает соединение для передачи данных, установленное от клиента к серверу. Второй подход — изменение для NAT значений команды PORT с помощью шлюза на прикладном уровне."
Отсюда следует:
а.1) Вы должны сервер перевести в Пассивный режим, выделить блок портов и для этого блока портов сделать пробросы,
не забыв также пробросить и главный 21 порт.
а.2) естественно на клиенте использовать пассивный режим и может ещё какие-то дополнительные настройки
б) на уровне софта менять внутри протокола ФТП значения. У Линукса был модуль отдельный к файрволу,
у микротика формально он тоже есть, но я не пользовался им вообще.
ФТП редко, но я использую, но либо в рамках уже туннелей, где серая сквозная адресация и нету НАТа,
или снаружи, чтобы попасть тупо на сервер.
-
- Сообщения: 7
- Зарегистрирован: 05 июл 2020, 17:03
Спасибо, уважаемый Vlad-2! Предчувствие меня не обмануло! Так и подумал, что дело в FTP. Попробую завтра порыться тут. О результате сообщу.
Еще раз благодарю за ответ!
Еще раз благодарю за ответ!
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Не используйте эту команду вместо нее поставьте dst-nat.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 7
- Зарегистрирован: 05 июл 2020, 17:03
Благодарю за совет!
Поменял на dst-nat. Проблема осталась. Счетчики работают. Прописал правило для порта 8080, попытался зайти по http. Та же хрень. Счетчики бегут, выхода на вэбморду NAS нет.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) файрволов на НАСе нету?
2) микротик как настраивали? (через кнопку QuickSetup)?
2.1) конфиг пре-заводской?
ПРОВЕРЬТЕ, если у Вас на микротике есть бридж, то локальный адрес надо
чтобы был на бридже, а не на порту2.
3) может и скорее всего веб-морда НАСа работает не на 80 порту, а на 443,
поэтому в правиле надо было прописать, там где локальный айпи НАСа,
туда порт поставить не 80, а 443
(Вы локально к НАСу как подключаетесь, по http ИЛИ https ??)
4) Ну и конфиг конечно уже пора показывать, а то ни локальных адресов, ничего.
5) А настройка сети у НАСа как сделана? Статика или DHCP, шлюз прописан в настройках НАСа?
P.S.
проверять проверку проброса надо ТОЛЬКО не с этого канала, а другого, например с
с телефона через оператора связи. Надеюсь Вы так это делали?
-
- Сообщения: 7
- Зарегистрирован: 05 июл 2020, 17:03
Уважаемые, благодарю за помощь!
5) А настройка сети у НАСа как сделана? Статика или DHCP, шлюз прописан в настройках НАСа?
Ну, конечно нет. Шлюз забыл поменять. Поменял, в результате все заработало!
1) почитайте в WiKi об FTP, а точнее про Пассивный и Активный режим
Вышел и через FTP. Но не сразу. Оказалось, что в настройках не стояла галочка на Пассивной режиме!
Еще раз благодарю за помощь! Всего наилучшего!
5) А настройка сети у НАСа как сделана? Статика или DHCP, шлюз прописан в настройках НАСа?
Ну, конечно нет. Шлюз забыл поменять. Поменял, в результате все заработало!
1) почитайте в WiKi об FTP, а точнее про Пассивный и Активный режим
Вышел и через FTP. Но не сразу. Оказалось, что в настройках не стояла галочка на Пассивной режиме!
Еще раз благодарю за помощь! Всего наилучшего!
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация: