vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а у меня такое чудо - smartFTP нормально идет, а вот попробовал WinCMD и не идет Ну и теперь хочу поставить, вернее уже поставтил FTP сервер (Serv-U), может и не в тему обращаюсь (тогда поругайте), но подскажите как людям из инета обращаться к моему серверу если у меня есть доменное имя, но на сервере провайдера (там сайт), т.е. ИМХО надо по моему внешнему IP? И еще если можно правила пакетного фильтра какие должны быть, если FTP стоит в ЛАН за WinRoute? уффф...ВСЕ.   Добавлено а у меня такое чудо - smartFTP нормально идет, а вот попробовал WinCMD и не идет Ну и теперь хочу поставить, вернее уже поставтил FTP сервер (Serv-U), может и не в тему обращаюсь (тогда поругайте), но подскажите как людям из инета обращаться к моему серверу если у меня есть доменное имя, но на сервере провайдера (там сайт), т.е. ИМХО надо по моему внешнему IP? И еще если можно правила пакетного фильтра какие должны быть, если FTP стоит в ЛАН за WinRoute? уффф...ВСЕ. Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 16:06 12-11-2003

Sadok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ooptimum Цитата: KWF 5.0.0, инспектирующий и модифицирующий FTP траффик "на лету" Хоть и давно это было К сожалению, это не так (для пассивных соединений, с активными еще не сталкивался в этой ситуации). Просто для меня  настройки были по типу "весь интренет - куда кгодно - без ограничений". А с простыми юзерами оказалось сложней. (Это на 5.0.0 и не знаю, пофиксили багу или нет). Мало открыть 21 порт, нужно еще и разрешить все порты > 1024 по принципу "локалка - интернет - порты > 1024 - можно - NAT". Эта версия KWF динамически порты не открывает  По этому приходится вместо "интернет" прописывать фтп-сервера "куда-можно-или-надо"... Вот так. Абыдно, э   Добавлено vworld Цитата: поставтил FTP сервер (Serv-U), может и не в тему обращаюсь (тогда поругайте), но подскажите как людям из инета обращаться к моему серверу если у меня есть доменное имя, но на сервере провайдера (там сайт), Э... Не понял. Сайт в одном месте, а фтп-сервер в другом? Если да, то извините... Цитата: если FTP стоит в ЛАН за WinRoute На случай, если все-таки я не понял У меня Serv-U за KWF.     В настройках Серв-У: В настройках сервера: указать диапазон портов для пассивного режима(у меня 2000-2010).   В настройках домена:  разрешить пассивный режим, с указанием внешнего ip. Не указывать  ip самого домена. Это поле оставить пустым, чтобы он слушал сразу внешние и внутренние ip.   В настройках KWF (у меня Серв-у и KWF на одной машине, поэтому маппинга нет): Разрешить входящие на 21 порт, исходящие с 20-ого (с NAT'ом), входящие на пассивные порты (в моем случае 2000-2010)   Все. ПЫС: на всякий случай - работать с твоим фтп можно будет только в пассивном режиме. Всего записей: 1358 | Зарегистр. 04-01-2003 | Отправлено: 23:52 12-11-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sadok Цитата: Хоть и давно это было  К сожалению, это не так (для пассивных соединений, с активными еще не сталкивался в этой ситуации). Конечно это не так для пассивных соединений, потому что в этом случае ничего модифицировать не надо, т.к. пассивные соединения как раз и предназначены для работы из-за файрвола. Речь шла про активные соединения. Цитата: Мало открыть 21 порт, нужно еще и разрешить все порты > 1024 по принципу "локалка - интернет - порты > 1024 - можно - NAT".   Все верно и никакая это не бага. А то, что он динамически порты не открывает -- это особенность реализации. Никто и не обещал, кстати. Впрочем, как никто и ничто не обязывает так делать. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 06:50 13-11-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sadok Цитата: Э... Не понял. Сайт в одном месте, а фтп-сервер в другом? Если да, то извините...   Да ..сайт у провайдера, а вот FTP сервер у меня в локальной сети   Цитата: (у меня Серв-у и KWF на одной машине, поэтому маппинга нет):   А у меня Serv-U на клиентской машине внутри локалки, т.е. за WinRoute, тогда как? Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 10:01 13-11-2003

lek Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vworld Цитата: Serv-U на клиентской машине внутри локалки, т.е. за WinRoute, тогда как?   на машину с WinRoute надо ставить программу для форвардинга потров (что за прога для винды - понятия не имею, но например у меня на freebsd этим занимается natd). прога откроет 21 порт на внешнем интерфейсе машины с KWF и будет переправлять входящие подключения на 21 порт машины внутри локалки. возможно такой же трюк надо проделать с 20 портом. ну и по вкусу - внести в ДНС запись о том, что твой ftp имеет CNAME роутер Всего записей: 230 | Зарегистр. 28-12-2002 | Отправлено: 14:34 13-11-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lek Цитата: прога откроет 21 порт на внешнем интерфейсе машины с KWF и будет переправлять входящие подключения на 21 порт машины внутри локалки. Это и есть порт маппинг? В WinRoute это вроде Распределения портов...   Добавлено lek Цитата: на машину с WinRoute надо ставить программу для форвардинга потров (что за прога для винды - понятия не имею, но например у меня на freebsd этим занимается natd). прога откроет 21 порт на внешнем интерфейсе машины с KWF и будет переправлять входящие подключения на 21 порт машины внутри локалки. возможно такой же трюк надо проделать с 20 портом. ну и по вкусу - внести в ДНС запись о том, что твой ftp имеет CNAME роутер   Хитро завернуто - без бутылки не разобраться, это все потому, что на Free! А ты вот попробуй все на винде и плюс еще всякие там прокси и еще всякую дребедень! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 14:52 13-11-2003

lek Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vworld Цитата: Это и есть порт маппинг? В WinRoute это вроде Распределения портов... да, припоминаю, что было такое и я как-то настраивал для radmin'a проброс в локальную сеть. так что WinRoute думаю вполне хватит для форвардинга ftp. теперь пробрасывай 21 порт и смотри, получается или нет. вот нашёл ещй пару ссылок: эта и эта, может помогут   добавил вот ещё про фтп Всего записей: 230 | Зарегистр. 28-12-2002 | Отправлено: 15:31 13-11-2003 | Исправлено: lek, 15:47 13-11-2003

Sadok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vworld Цитата: Да ..сайт у провайдера, а вот FTP сервер у меня в локальной сети Ну и как обновлять сайт, который находится "там" черз сервер, который находится "здесь"? Цитата: А у меня Serv-U на клиентской машине внутри локалки, т.е. за WinRoute, тогда как?   Настроить port mapping (в руссифицированной версии не знаю как называется). Все так же, как рассказал, только "пробрасывать" соединение на нужноую машину. Принцип можно поглядеть на liter.narod.ru Всего записей: 1358 | Зарегистр. 04-01-2003 | Отправлено: 10:36 14-11-2003

Sadok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ooptimum Цитата: Все верно и никакая это не бага. А то, что он динамически порты не открывает -- это особенность реализации. Никто и не обещал, кстати. Впрочем, как никто и ничто не обязывает так делать. Увы Мне казалось, что  это очевидно. Клиент захотел, клиенту разрешено - вперёд! Согласись, что открывать все порты > 1024 на исходящие - суть нарушение принципов существования файрвола/безопасности/секьюрности... Всего записей: 1358 | Зарегистр. 04-01-2003 | Отправлено: 00:35 15-11-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sadok Цитата: Мне казалось, что  это очевидно. Клиент захотел, клиенту разрешено - вперёд! Ну дак напиши тогда разработчикам WinRoute, чтобы им тоже очевидно стало. Нет, я не спорю, что здравый смысл в твоей идее есть, но мы имеем то, что имеем. Не так ли? Я вот, например, хочу, чтобы компьютер сам за меня нужные программы писал. Но не может... Цитата: Согласись, что открывать все порты > 1024 на исходящие - суть нарушение принципов существования файрвола/безопасности/секьюрности... Согласись, что вообще работа с FTP напрямую -- суть нарушение той же секьюрности. Используй прокси -- вот ответ по поводу секьюрности, если тебя так заботят открытые на выход порты. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 01:15 15-11-2003

Sadok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ooptimum Цитата: Ну дак напиши тогда разработчикам WinRoute, чтобы им тоже очевидно стало Угу. Посоветуй им еще денег дать Цитата: Согласись, что вообще работа с FTP напрямую -- суть нарушение той же секьюрности. ?? В плане передачи логинов/паролей открытым текстом? Разъясни, если не влом. Цитата: Используй прокси -- вот ответ по поводу секьюрности, если тебя так заботят открытые на выход порты Если вспомнить определение "порокси", то что есть  Винроут, как не ЭТО? А открытые порты - да, заботят. Не хочет, ру-блин-ководство, чтобы юзеры тянули POP3 с "внешних" серверов, для примера.  Ну, и еще есть чудеса... Всего записей: 1358 | Зарегистр. 04-01-2003 | Отправлено: 01:51 15-11-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sadok Цитата: В плане передачи логинов/паролей открытым текстом? Разъясни, если не влом. Да нет, пароли в любом случае будут так передаваться, что клиентом, что прокси -- без разницы. На самом деле, говоря о нарушении безопасности, я имел виду не угрозу проникновения извне в твою сеть или нечто подобное, а возможность нанести некий вред злоумышленником, находящимся внутри защищаемой сети. Например, это еще один способ украсть конфиденциальную информацию. И т.д. и т.п.   Цитата: Если вспомнить определение "порокси", то что есть  Винроут, как не ЭТО? WinRoute -- это HTTP_FTP_XYZ_прокси + брандмауэр + NAT + портмэппер + DNS-кэшсервер + DHCPD + Email + не_помню_что_еще. Изначально речь в этом топике шла про NAT. Я же написал, что если работа с FTP через NAT для тебя проблематична по тем или иным причинам (конретно -- из-за открытых "верхних" портов), то работай через прокси. Цитата: А открытые порты - да, заботят. Не хочет, ру-блин-ководство, чтобы юзеры тянули POP3 с "внешних" серверов, для примера. Ты забыл номер порта POP3? Неужели его так трудно заблокировать? Не говоря уже о том, что он имеет номер уж никак не подпадающий под диапазон, используемый FTP-серверами для пассивных соединений. Впрочем, все это уже флейм давно... Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 02:29 15-11-2003

Sadok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ooptimum Цитата: возможность нанести некий вред злоумышленником, находящимся внутри защищаемой сети Ну, ёлки... Тут уж новый топик надо поднимать С заголовком "Против лома нет приёма". Цитата: Ты забыл номер порта POP3? Иронию понимаю и приветствую Ну, вот... как в армии: "я не знаю, как это делается, но вы это делаете не правильно". Это ж нормальное желание русского сисадмина: воткнул и оно само пашет  (+ кряк) ПЫС: похоже, мы съезжаем с темы. Всего записей: 1358 | Зарегистр. 04-01-2003 | Отправлено: 02:49 15-11-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну уж раз разговор зашел о безопасности FTP + WinRoute, то может быть тогда и по фильтру пакетов можно будет обсудить вопрос? Т.е. что открыть и что закрыть в различных случаях. Например вариант №1, когда FTP стоит на клиентской машине за прокси и вариант №2, когда FTP стоит на машине с прокси? Я почему спрашиваю? Потому что у меня в фильтре пакетов с каждым днем становится бардак, а это ИМХО не есть гут Надо наводить порядок, но знаний и опыта в этом вопросе не много Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 08:10 17-11-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sadok А настройки у народа, который ко мне хочет на FTP подключиться? В плане на FTP-клиентах. Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 15:54 17-11-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sadok Я про то, что у меня нет доменного имени и вот хочу, чтобы товарищь ко мне зашел, так ему что писать в настройках FTPклиента? Мой IP? Или что? Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 12:54 15-12-2003

lek Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vworld если у тебя Цитата: нет доменного имени   , то очевидно нужно Цитата: писать в настройках FTPклиента Цитата: Мой IP а что ещё там можно писать?   all народ, я не понимаю, что означает открыть порты Цитата: диапазон 1024-65000 ??? на фаерволить их? или что? Всего записей: 230 | Зарегистр. 28-12-2002 | Отправлено: 00:03 18-12-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lek Цитата: а что ещё там можно писать? Ну а если у меня например не реальный статический IP? Т.е. может и не так у меня сомнения есть у меня на этот счет... Так как тогда быть? Обращаться по моему внешнему Ip народу в инете? Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 10:28 18-12-2003

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FTP и WinRoute

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование