Пассивный FTP сервер за mikrotik

Обсуждение ПО и его настройки
Ответить
ukebear
Сообщения: 6
Зарегистрирован: 26 янв 2019, 07:57

Есть ftp сервер на железе времен левитана, кое как стоит работает внутри локалки, с инета на него можно попасть только используя активное подключение на ftp.
Но как всегда, необходимо работать в пассивном режиме.
На микротике:
1 chain=dstnat action=dst-nat to-addresses=192.168.1.3 protocol=tcp dst-address=38.***.***.97
in-interface=ether1 dst-port=20,21,5000-5059,5063-6000 log=no log-prefix=""
Но эта сволочь передает внутри ftp пакета свой адрес из локальной сети.
Изображение
Можно ли микротиком заглянуть в пакет и изменить адрес?
Может есть какие то другие способы? Сам сервер не умеет менять адрес для удаленного подключения.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Попробуйте в Ваших действующих правилах проброса задействовать модуль FTP,
как это сделать - прилагаю картинку, сам не делал, но в своё время под линуксом
в iptables подгружал модуль для работы с фтп.

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ukebear
Сообщения: 6
Зарегистрирован: 26 янв 2019, 07:57

Vlad-2 писал(а): 26 янв 2019, 11:26 Попробуйте в Ваших действующих правилах проброса задействовать модуль FTP,
как это сделать - прилагаю картинку, сам не делал, но в своё время под линуксом
в iptables подгружал модуль для работы с фтп.

Изображение
Не полегчало.
Connection Type(Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports)
Видимо эта функция чтобы отсеять пакеты, а мне бы внутрь заглянуть и помочь родному клиенту не потеряться.
Причем на предыдущем роутере все работало, был обычный тплинк.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну не знаю, друг делает проброс именно фтп на своём микротике, по обычному плану, у него работает,
он входящие порты юзает другие(не стандартные), а проброс делает на 21 порт фтп-сервера (отдельным правилом),
и на диапазон портов выше 52000-55000 (отдельным правилом). И это всё для TCP
И также, ещё два отдельных правила для UDP.

Всё работает у него, счётчики правил не нулевые, значит каждое правило отрабатывается.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ukebear
Сообщения: 6
Зарегистрирован: 26 янв 2019, 07:57

Vlad-2 писал(а): 26 янв 2019, 15:34 Ну не знаю, друг делает проброс именно фтп на своём микротике, по обычному плану, у него работает,
он входящие порты юзает другие(не стандартные), а проброс делает на 21 порт фтп-сервера (отдельным правилом),
и на диапазон портов выше 52000-55000 (отдельным правилом). И это всё для TCP
И также, ещё два отдельных правила для UDP.

Всё работает у него, счётчики правил не нулевые, значит каждое правило отрабатывается.
А он пользует пассивный фтп? Он в настройках сервера случайно нигде не указывал внешний айпишник? Спросить можно?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ukebear писал(а): 26 янв 2019, 16:52 А он пользует пассивный фтп? Он в настройках сервера случайно нигде не указывал внешний айпишник? Спросить можно?
Увиделся с коллегой только сегодня, поспрашивал его.

1) да, он в конфиге ФТП использует (явно задаёт) внешний адрес.
2) у него два Интернет-канала, соответственно, он сделал два отдельных фтп-сервера.
(не стал я уточнять как и прочее).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить