Udostępnienie FTP zza NAT - passive mode

[tomek.b]

Konfiguracja serwera FTP zakłada porty trybu pasywnego z zakresu 10090-10100

Na Routerze mam:

Kod: Zaznacz cały

ip nat inside destination list 110 pool FTP_FWD

ip nat pool FTP_FWD 172.30.0.10 172.30.0.10 netmask 255.255.255.0 type rotary

ip nat inside destination list 110 pool FTP_FWD

access-list 110 permit tcp any any range 10090 10100
access-list 110 permit tcp any any range ftp-data ftp

Na interfejsie zewnętrznym (z publicznym adresem IP) mam przypiętą ACL

Kod: Zaznacz cały

ip access-list extended OUTSIDE
 permit tcp any any eq ftp
 permit tcp any range 10090 10100 any

Do tego jest jeszcze:

Kod: Zaznacz cały

ip inspect name LAN tcp
ip inspect name LAN udp
ip inspect name LAN icmp
ip inspect name LAN ftp

Klient FTP łączy się z serwerem, użytkownik może się zalogować.
Po wydaniu komendy DIR, klient informuje, że przechodzi w tryb pasywny. W parametrach jest podany publiczny adres routera i port wynikający z ustawień trybu pasywnego serwera.

Chwilę później, pojawia się informacje, o braku trasy do hosta.


Firewall na serwerze FTP jest wyłączony.
ISP nie blokuje połączeń.

nmap portu 21 pokazuje status open
nmap portów z zakresu trybu pasywnego pokazuje status filtered.

Przy połączeniach żadne dane nie są łapane w reguły ACL portów trybu pasywnego.

Przy łączeniu z sieci wewnętrznych, wszystko działa poprawnie.

Jakieś pomysły, gdzie może być problem?

[gryglas]

Konfiguracja serwera FTP zakłada porty trybu pasywnego z zakresu 10090-10100

Na Routerze mam:

Kod: Zaznacz cały

ip nat inside destination list 110 pool FTP_FWD

ip nat pool FTP_FWD 172.30.0.10 172.30.0.10 netmask 255.255.255.0 type rotary

ip nat inside destination list 110 pool FTP_FWD

access-list 110 permit tcp any any range 10090 10100
access-list 110 permit tcp any any range ftp-data ftp

Na koncu acl dodaj
Na interfejsie zewnętrznym (z publicznym adresem IP) mam przypiętą ACL

Kod: Zaznacz cały

ip access-list extended OUTSIDE
 permit tcp any any eq ftp
 permit tcp any range 10090 10100 any

Do tego jest jeszcze:

Kod: Zaznacz cały

ip inspect name LAN tcp
ip inspect name LAN udp
ip inspect name LAN icmp
ip inspect name LAN ftp

Klient FTP łączy się z serwerem, użytkownik może się zalogować.
Po wydaniu komendy DIR, klient informuje, że przechodzi w tryb pasywny. W parametrach jest podany publiczny adres routera i port wynikający z ustawień trybu pasywnego serwera.

Chwilę później, pojawia się informacje, o braku trasy do hosta.


Firewall na serwerze FTP jest wyłączony.
ISP nie blokuje połączeń.

nmap portu 21 pokazuje status open
nmap portów z zakresu trybu pasywnego pokazuje status filtered.

Przy połączeniach żadne dane nie są łapane w reguły ACL portów trybu pasywnego.

Przy łączeniu z sieci wewnętrznych, wszystko działa poprawnie.

Jakieś pomysły, gdzie może być problem?

Na końcu acl OUTSIDE dodaj

Kod: Zaznacz cały

 deny ip any any log

zeby zobaczyc jaki ruch jest odrzucany.

Dodaj ip inspect dla TCP oraz dodatkowo ip inspect dla interfejsu WAN na in + out
Usun testowo ip inspect ftp

p.s
Jakos nie podoba mi sie konfiguracja nat, sprobuj skonfigurowac zwykly nat static dla tych portow
Jezeli masz mozliwosc testowania jako ftp active (port 20 i 21) to testuj na nim. Z trybem pasywnym zawsze bylo wesoło