Добрый день, подскажите как правильно прописать проброс для ftp
комп с ip 192.168.88.200, на нем развернут фтп (булетпруф) с портом 10
интернет билайн по л2тп
создал подключение через ip 85.21.0.255
внешний ip 78.107.235.131
встроенный фтп микротика отключил
всякие варианты попробовал, не помогает, но тут всё сложно, ибо я не понимаю что делаю (взял тупо из мануала)
/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=10 action=dst-nat to-addresses=192.168.88.200 to-ports=10
/ip firewall nat add chain=dstnat dst-address=85.21.0.255 protocol=tcp dst-port=10 action=dst-nat to-addresses=192.168.88.200 to-ports=10
/ip firewall nat add chain=dstnat dst-address=85.21.0.255 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.88.200 to-ports=21
/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.88.200 to-ports=21
буду признателен за помощь, спасибо.
проброс для фтп не получается
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
vkrum
- Сообщения: 86
- Зарегистрирован: 10 ноя 2012, 00:23
попробуйте выключить всЁ
http://wiki.mikrotik.com/wiki/Manual:IP ... vice_Ports
прокидывал порт для torent
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.252 to-ports=58734 protocol=tcp dst-port=58734
Возможно надо открыть помимо 21 и 20 порт.
http://connect.majestyc.net/
http://wiki.mikrotik.com/wiki/Manual:IP ... vice_Ports
прокидывал порт для torent
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.252 to-ports=58734 protocol=tcp dst-port=58734
Возможно надо открыть помимо 21 и 20 порт.
http://connect.majestyc.net/
-
DmRune
- Сообщения: 2
- Зарегистрирован: 22 мар 2012, 09:28
попробовал открыть и 20 и 21 и 10 порты, один черт при проверке по вашей ссылке пишет что закрыто...
есть ещё идеи что не так? или как правильно?
есть ещё идеи что не так? или как правильно?
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
смотрите фтп для управления использует порт 21
а для передачи данных - соединение на любом другом порту
поэтому надо прокинуть порт 21, затем в настройках фтп сервера указать диапазон портов для работы фтп (портов 100 хотя бы) и потом прокинуть этот диапазон на роутере
а для передачи данных - соединение на любом другом порту
поэтому надо прокинуть порт 21, затем в настройках фтп сервера указать диапазон портов для работы фтп (портов 100 хотя бы) и потом прокинуть этот диапазон на роутере
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
DmRune
- Сообщения: 2
- Зарегистрирован: 22 мар 2012, 09:28
iSupport писал(а):смотрите фтп для управления использует порт 21
а для передачи данных - соединение на любом другом порту
поэтому надо прокинуть порт 21, затем в настройках фтп сервера указать диапазон портов для работы фтп (портов 100 хотя бы) и потом прокинуть этот диапазон на роутере
Раньше на Длинке я дополнительно фтп сервер не настраивал, как стоят порт 10 по умолчанию так и оставлял
просто прописывал его в длинке по этому порту и всё.
но это ладно, настрою порты
только, пожалуйста, напишите команду как их правильно пробрасывать , а то в этих нюансах ну вообще не разбираюсь
с учетом количества разных ip...
и нужно ли пробрасывать туда-обратно, или только снаружи на комп?
спасибо.
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
и нужно ли пробрасывать туда-обратно, или только снаружи на комп?
нужно только снаружи. самому серверу нужен выход наружу.
Код: Выделить всё
/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=10 action=dst-nat to-addresses=192.168.88.200 to-ports=10вы написали правильный пример, суть в том, что при обращении на ардес 78.107.235.131 к порту tcp = 10, мтик переносит соединение на адрес 192.168.88.200 на порт 10
в "обратную сторону" нужно сделать либо:
Код: Выделить всё
/ip firewall nat add chain=srcnat src-address=192.168.88.200 action=src-nat to-addresses=78.107.235.131закрывать весь трафик от севера 192.168.88.200 адресом 78.107.235.131.
либо, исключительно для порта tcp=10 когда серверу не нужно давать полный доступ в интернет, а только по портам сервисов:
Код: Выделить всё
/ip firewall nat add chain=srcnat src-address=192.168.88.200 protocol=tcp src-port=10 action=src-nat to-addresses=78.107.235.131-
DmRune
- Сообщения: 2
- Зарегистрирован: 22 мар 2012, 09:28
прописал как вы сказали (теже 3 порта), не помогает. остальные записи все почистил.
посмотрел настройки фпт сервера, там можно изменить только 1 порт, а рэнж можно установить только для пассивного режима
посмотрел настройки фпт сервера, там можно изменить только 1 порт, а рэнж можно установить только для пассивного режима
-
DmRune
- Сообщения: 2
- Зарегистрирован: 22 мар 2012, 09:28
поменял порт на 21 в фпт сервере и... всё заработало...
может быть занят порт 10 чем-то?
в любом случае сейчас определюсь какой проброски достаточно для работы, отпишусь тогда
может быть занят порт 10 чем-то?
в любом случае сейчас определюсь какой проброски достаточно для работы, отпишусь тогда
-
DmRune
- Сообщения: 2
- Зарегистрирован: 22 мар 2012, 09:28
ну, собственно достаточно только сменить порт на 21 и одного правила
/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.88.200 to-ports=21
Спасибо всем за помощь!
/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.88.200 to-ports=21
Спасибо всем за помощь!
-
Barvinok
- Сообщения: 103
- Зарегистрирован: 28 фев 2012, 23:21
Насколько я знаю, порт 21 используется для управления потоком. А сам поток данных идёт с 20-ого порта сервера. Для таких сложных протоколов со вспомогательными соединениями существует свойство connection-type и раздел /ip firewall service-port. Если ты работаешь с общепринятыми портами, по умолчанию включаются соответствующие механизмы. Если ты решил использовать FTP на необычном порту - нужно явно указать connection-type=ftp либо переназначить в списке service-port. Я так думаю.
Трассировка комплексных протоколов писал(а):Протокол FTP сначала открывает одиночное соединение, которое называется "сеансом управления FTP" (FTP control session). При выполнении команд в пределах этого сеанса, для передачи сопутствующих данных открываются дополнительные порты. Эти соединения могут быть активными или пассивными. При создании активного соединения клент передает FTP серверу номер порта и IP адрес для соединения. Затем клент открывает порт, сервер подключает к заданному порту клиента свой порт с номером 20 (известный как FTP-Data) и передает данные через установленное соединение.
Проблема состоит в том, что брандмауэр ничего не знает об этих дополнительных подключениях, поскольку вся информация о них передается через область данных пакета. Из-за этого брандмауэр не позволит серверу соединиться с указанным портом клиента.
Решение проблемы состоит в добавлении специального вспомогательного модуля трассировки, который отслеживает, специфичную для данного протокола, информацию в области данных пакетов, передаваемых в рамках сеанса управления. При создании такого соединения, вспомогательный модуль корректно воспримет передаваемую информацию и создаст соответствующую запись в таблице трассировщика со статусом RELATED, благодаря чему соединение будет установлено.
...
Обратите внимание на то, что механизм определения состояния не имеет никакого отношения к трансляции сетевых адресов (NAT), поэтому вам может потребоваться большее количество дополнительных модулей, если вы выполняете такую трансляцию. Допустим, что вы выполняете трансляцию адресов и трассировку FTP соединений, тогда вам необходим так же и соответствующий вспомогательный модуль NAT.
Последний раз редактировалось Barvinok 08 мар 2013, 14:51, всего редактировалось 5 раз.