проброс для фтп не получается

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
DmRune
Сообщения: 2
Зарегистрирован: 22 мар 2012, 09:28

19 янв 2013, 19:29

Добрый день, подскажите как правильно прописать проброс для ftp

комп с ip 192.168.88.200, на нем развернут фтп (булетпруф) с портом 10

интернет билайн по л2тп
создал подключение через ip 85.21.0.255
внешний ip 78.107.235.131

встроенный фтп микротика отключил

всякие варианты попробовал, не помогает, но тут всё сложно, ибо я не понимаю что делаю (взял тупо из мануала)
/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=10 action=dst-nat to-addresses=192.168.88.200 to-ports=10
/ip firewall nat add chain=dstnat dst-address=85.21.0.255 protocol=tcp dst-port=10 action=dst-nat to-addresses=192.168.88.200 to-ports=10
/ip firewall nat add chain=dstnat dst-address=85.21.0.255 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.88.200 to-ports=21
/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.88.200 to-ports=21

буду признателен за помощь, спасибо.


vkrum
Сообщения: 86
Зарегистрирован: 10 ноя 2012, 00:23

19 янв 2013, 20:18

попробуйте выключить всЁ
http://wiki.mikrotik.com/wiki/Manual:IP ... vice_Ports

прокидывал порт для torent
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.252 to-ports=58734 protocol=tcp dst-port=58734

Возможно надо открыть помимо 21 и 20 порт.

http://connect.majestyc.net/


DmRune
Сообщения: 2
Зарегистрирован: 22 мар 2012, 09:28

20 янв 2013, 21:43

попробовал открыть и 20 и 21 и 10 порты, один черт при проверке по вашей ссылке пишет что закрыто...

есть ещё идеи что не так? или как правильно?


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

20 янв 2013, 23:13

смотрите фтп для управления использует порт 21

а для передачи данных - соединение на любом другом порту

поэтому надо прокинуть порт 21, затем в настройках фтп сервера указать диапазон портов для работы фтп (портов 100 хотя бы) и потом прокинуть этот диапазон на роутере


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
DmRune
Сообщения: 2
Зарегистрирован: 22 мар 2012, 09:28

21 янв 2013, 15:17

iSupport писал(а):смотрите фтп для управления использует порт 21

а для передачи данных - соединение на любом другом порту

поэтому надо прокинуть порт 21, затем в настройках фтп сервера указать диапазон портов для работы фтп (портов 100 хотя бы) и потом прокинуть этот диапазон на роутере


Раньше на Длинке я дополнительно фтп сервер не настраивал, как стоят порт 10 по умолчанию так и оставлял
просто прописывал его в длинке по этому порту и всё.

но это ладно, настрою порты
только, пожалуйста, напишите команду как их правильно пробрасывать , а то в этих нюансах ну вообще не разбираюсь
с учетом количества разных ip...

и нужно ли пробрасывать туда-обратно, или только снаружи на комп?

спасибо.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

21 янв 2013, 15:29

и нужно ли пробрасывать туда-обратно, или только снаружи на комп?

нужно только снаружи. самому серверу нужен выход наружу.

Код: Выделить всё

/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=10 action=dst-nat to-addresses=192.168.88.200 to-ports=10


вы написали правильный пример, суть в том, что при обращении на ардес 78.107.235.131 к порту tcp = 10, мтик переносит соединение на адрес 192.168.88.200 на порт 10

в "обратную сторону" нужно сделать либо:

Код: Выделить всё

/ip firewall nat add chain=srcnat src-address=192.168.88.200 action=src-nat to-addresses=78.107.235.131

закрывать весь трафик от севера 192.168.88.200 адресом 78.107.235.131.

либо, исключительно для порта tcp=10 когда серверу не нужно давать полный доступ в интернет, а только по портам сервисов:

Код: Выделить всё

/ip firewall nat add chain=srcnat src-address=192.168.88.200 protocol=tcp src-port=10 action=src-nat to-addresses=78.107.235.131


DmRune
Сообщения: 2
Зарегистрирован: 22 мар 2012, 09:28

21 янв 2013, 16:13

прописал как вы сказали (теже 3 порта), не помогает. остальные записи все почистил.

посмотрел настройки фпт сервера, там можно изменить только 1 порт, а рэнж можно установить только для пассивного режима


DmRune
Сообщения: 2
Зарегистрирован: 22 мар 2012, 09:28

21 янв 2013, 16:17

поменял порт на 21 в фпт сервере и... всё заработало...

может быть занят порт 10 чем-то?

в любом случае сейчас определюсь какой проброски достаточно для работы, отпишусь тогда


DmRune
Сообщения: 2
Зарегистрирован: 22 мар 2012, 09:28

21 янв 2013, 16:24

ну, собственно достаточно только сменить порт на 21 и одного правила

/ip firewall nat add chain=dstnat dst-address=78.107.235.131 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.88.200 to-ports=21



Спасибо всем за помощь!


Аватара пользователя
Barvinok
Сообщения: 98
Зарегистрирован: 28 фев 2012, 23:21

06 мар 2013, 10:28

Насколько я знаю, порт 21 используется для управления потоком. А сам поток данных идёт с 20-ого порта сервера. Для таких сложных протоколов со вспомогательными соединениями существует свойство connection-type и раздел /ip firewall service-port. Если ты работаешь с общепринятыми портами, по умолчанию включаются соответствующие механизмы. Если ты решил использовать FTP на необычном порту - нужно явно указать connection-type=ftp либо переназначить в списке service-port. Я так думаю.

Трассировка комплексных протоколов писал(а):Протокол FTP сначала открывает одиночное соединение, которое называется "сеансом управления FTP" (FTP control session). При выполнении команд в пределах этого сеанса, для передачи сопутствующих данных открываются дополнительные порты. Эти соединения могут быть активными или пассивными. При создании активного соединения клент передает FTP серверу номер порта и IP адрес для соединения. Затем клент открывает порт, сервер подключает к заданному порту клиента свой порт с номером 20 (известный как FTP-Data) и передает данные через установленное соединение.

Проблема состоит в том, что брандмауэр ничего не знает об этих дополнительных подключениях, поскольку вся информация о них передается через область данных пакета. Из-за этого брандмауэр не позволит серверу соединиться с указанным портом клиента.

Решение проблемы состоит в добавлении специального вспомогательного модуля трассировки, который отслеживает, специфичную для данного протокола, информацию в области данных пакетов, передаваемых в рамках сеанса управления. При создании такого соединения, вспомогательный модуль корректно воспримет передаваемую информацию и создаст соответствующую запись в таблице трассировщика со статусом RELATED, благодаря чему соединение будет установлено.
...
Обратите внимание на то, что механизм определения состояния не имеет никакого отношения к трансляции сетевых адресов (NAT), поэтому вам может потребоваться большее количество дополнительных модулей, если вы выполняете такую трансляцию. Допустим, что вы выполняете трансляцию адресов и трассировку FTP соединений, тогда вам необходим так же и соответствующий вспомогательный модуль NAT.
Последний раз редактировалось Barvinok 08 мар 2013, 14:51, всего редактировалось 5 раз.


Ответить