|
|
|
|
Gvan |
Пятница, 18 Июля 2003, 16:59
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Здравствуйте, Уважаемые. На прокси-сервере установлен файрвол (использует политики ipsec). Проблемы с ftp. Картина такая. Когда пытаешься законнектиться к какому-либо ftp-ресурсу через прокси, авторизация проходит нормально, но на команде LIST, ftp-клиент зависает (долго и безрезультатно пытаясь показать список содержимого ftp-ресурса).
Привожу лог ftp-клиента (в качестве клиента использовался FTPVoyager): 18.07.2003 11:42:57:>STATUS:> Connecting to "192.168.20.15" on port 21. 18.07.2003 11:42:57:> 220 Extra Systems FTP Proxy Ready 18.07.2003 11:42:57:>STATUS:> Connected. Logging into the server 18.07.2003 11:42:57:>COMMAND:> USER anonymous@ftp.symantec.com 18.07.2003 11:42:57:> 331 Guest login ok, send your e-mail address as password. 18.07.2003 11:42:57:>COMMAND:> PASS ******************** 18.07.2003 11:42:57:> 230 Anonymous login ok, access restrictions apply. 18.07.2003 11:42:57:>STATUS:> Login successful 18.07.2003 11:42:57:>COMMAND:> FEAT 18.07.2003 11:42:57:> 500 Invalid command. 18.07.2003 11:42:57:>COMMAND:> REST 100 18.07.2003 11:42:57:> 350 Restarting at 100. 18.07.2003 11:42:57:>COMMAND:> REST 0 18.07.2003 11:42:57:> 350 Restarting at 0. 18.07.2003 11:42:57:>STATUS:> Server supports resume 18.07.2003 11:42:57:>COMMAND:> PWD 18.07.2003 11:42:57:> 257 "/" is current directory. 18.07.2003 11:42:57:>COMMAND:> CWD / 18.07.2003 11:42:57:> 250 CWD command successful. 18.07.2003 11:42:57:>COMMAND:> TYPE A 18.07.2003 11:42:57:> 200 Type set to A. 18.07.2003 11:42:57:>COMMAND:> PORT 192,168,20,40,11,47 18.07.2003 11:42:57:> 200 PORT command successful. 18.07.2003 11:42:57:>COMMAND:> LIST 18.07.2003 11:42:57:>ERROR:> Socket error: Unknown socket error (0) 18.07.2003 11:42:57:>ERROR:> Socket error: Unknown socket error (0)
Я думал, что проблемы с открытыми портами на файрволе (у меня открыты tcp-порты 20 и 21 на вход и выход). Но странность вот в чём. Если отключить файрвол, через прокси всё работает (значит прокси работает правильно). Если обратиться к ftp-ресурсу в обход прокси (на этом же сервере поднят NAT), с включённым файрволом, тоже всё нормально (значит файрвол, вроде бы, настроен правильно). А вот в связке прокси+файрвол, происходят проблемы, описанные выше.... Не подскажете, где искать решение проблемы? В интернете есть описания таких проблем, но ответов нет. Может кто знает как решить проблему?
|
|
|
|
|
Gvan |
Вторник, 22 Июля 2003, 9:34
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Я так понимаю, никто с подобным не сталкивался? Печально :-((
|
|
|
|
|
Vio |
Вторник, 22 Июля 2003, 10:44
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 1331
Регистрация: 22.08.2001
Из: Moldova, Chisinau
Пользователь №: 237
Конфигурация
Корпус: IBM NetVista 6792-kkg Материнская плата: IBM Intel Оперативная память: 256 MB Видеокарта: Riva Vanta Жесткий диск (винчестер): Seagate Barracuda IV Дисковод: 3.5" CD/DVD: LG Модем: -- Сетевой адаптер: Intel 100MB RJ45 Звуковая плата: AC'97 incorporated Монитор: 17'', IBM G74 Операционная система: WIndows XP Proffesional Eng Прочее: --
|
а пассив мод выключен на клиенте?
|
|
|
|
|
mokc0der |
Вторник, 22 Июля 2003, 10:47
|
Участник
Профиль
Группа: Профессионалы
Сообщений: 1278
Регистрация: 20.12.2001
Из: Москва
Пользователь №: 859
Конфигурация
Корпус: Thermaltake LanMoto Процессор: Другой Материнская плата: ASUS A8N-SLI Оперативная память: DIMM DDR PC3200 2048 Mb Видеокарта: ASUS X300SE Жесткий диск (винчестер): WD3200KS + ST3200822А Дисковод: 3.5" CD/DVD: NEC ND-4571 Модем: Zyxel 662HW Сетевой адаптер: built-in Звуковая плата: built-in AC97 Монитор: Sony SDM S71R Операционная система: WinXP, Vista Прочее: Bluetooth dongle
IBM T42
|
Gvan, Цитата | 18.07.2003 11:42:57:>COMMAND:> PORT 192,168,20,40,11,47 |
Здесь ответ на твой вопрос У тебя открыты порты 20 и 21. А соединение на твой компа(192.168.20.40) порт 12043 (11,47 если правильно я перевел).
Варианты -> 1. пересторой запреты на firewall. Или напиши их здесь. А уж мы помогем 2. А пассивный режим не пробывал ?
P.S. ftp описан тут
Сообщение отредактировал mokc0der - Вторник, 22 Июля 2003, 10:50
|
|
|
|
|
Gvan |
Вторник, 22 Июля 2003, 13:37
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Как я понял, на файрволе надо разрешить подключение к портам выше 1024. Делать этого мне не хотелось бы... На файрволе запрещено всё, что явно не разрешено (для пользования ftp я разрешил только два tcp-порта 20 и 21). Пассивный режим пробовал, но прокси его не поддерживает...
|
|
|
|
|
Vio |
Вторник, 22 Июля 2003, 13:58
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 1331
Регистрация: 22.08.2001
Из: Moldova, Chisinau
Пользователь №: 237
Конфигурация
Корпус: IBM NetVista 6792-kkg Материнская плата: IBM Intel Оперативная память: 256 MB Видеокарта: Riva Vanta Жесткий диск (винчестер): Seagate Barracuda IV Дисковод: 3.5" CD/DVD: LG Модем: -- Сетевой адаптер: Intel 100MB RJ45 Звуковая плата: AC'97 incorporated Монитор: 17'', IBM G74 Операционная система: WIndows XP Proffesional Eng Прочее: --
|
т.е. тебе нужно фтп прокси на одно соеденение? иначе как понять твое стремление открыть только два порта для него. Насколько я знаю, в этом и принцип работы прокси, внутрь сети открыть один порт а наружу каждому коннекту по одному порту не проще ли открыть в файрволе себе любимому дырочку и все?
|
|
|
|
|
Gvan |
Вторник, 22 Июля 2003, 15:56
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Дело в том, что я знаю, как попасть на ftp-ресурс и без использования прокси. Но тут для меня важно соблюдать следующие моменты: 1. Хотелось бы, чтобы весь входящий трафик был учтён (прокси ведёт логи). 2. Открытыми оставалось бы только минимально необходимое количество портов (реализовано на файрволе), всё остальное - закрыто. 3. Очень важно для нас деление канала, чтобы vpn работал постоянно. В случае, если я "лью" какой-либо фильм из интернета по ftp в обход прокси, то канал забивается полностью и vpn-соединения обрываются, что вызывает массу проблем. А с помощью прокси, канал делится замечательно. 4. Не хотелось бы объяснять юзерам о возможных лазейках мимо прокси, а ftp им иногда действительно нужно.
|
|
|
|
|
mokc0der |
Среда, 23 Июля 2003, 13:03
|
Участник
Профиль
Группа: Профессионалы
Сообщений: 1278
Регистрация: 20.12.2001
Из: Москва
Пользователь №: 859
Конфигурация
Корпус: Thermaltake LanMoto Процессор: Другой Материнская плата: ASUS A8N-SLI Оперативная память: DIMM DDR PC3200 2048 Mb Видеокарта: ASUS X300SE Жесткий диск (винчестер): WD3200KS + ST3200822А Дисковод: 3.5" CD/DVD: NEC ND-4571 Модем: Zyxel 662HW Сетевой адаптер: built-in Звуковая плата: built-in AC97 Монитор: Sony SDM S71R Операционная система: WinXP, Vista Прочее: Bluetooth dongle
IBM T42
|
Цитата | Как я понял, на файрволе надо разрешить подключение к портам выше 1024. |
Не правильно ты понял! Достаточно 2 порта Укажи как у тебя прописаны правила относительно этих портов и что за прокси
|
|
|
|
|
Gvan |
Среда, 23 Июля 2003, 15:07
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Ок, правила такие: tcp/20 и tcp/21 разрешены любые входящие и исходящие пакеты с/на прокси-сервер(а) по этим портам на любой адрес в интернет. В качестве прокси использую ES Proxy (если интересно привожу ссылку на сайт разработчика). Вот и всё.
|
|
|
|
|
mokc0der |
Среда, 23 Июля 2003, 15:32
|
Участник
Профиль
Группа: Профессионалы
Сообщений: 1278
Регистрация: 20.12.2001
Из: Москва
Пользователь №: 859
Конфигурация
Корпус: Thermaltake LanMoto Процессор: Другой Материнская плата: ASUS A8N-SLI Оперативная память: DIMM DDR PC3200 2048 Mb Видеокарта: ASUS X300SE Жесткий диск (винчестер): WD3200KS + ST3200822А Дисковод: 3.5" CD/DVD: NEC ND-4571 Модем: Zyxel 662HW Сетевой адаптер: built-in Звуковая плата: built-in AC97 Монитор: Sony SDM S71R Операционная система: WinXP, Vista Прочее: Bluetooth dongle
IBM T42
|
Значит правило должно быть примерно так: с любого ip локальной сети любого порта на любой ip интернета порты 20, 21
|
|
|
|
|
NALIM |
Среда, 23 Июля 2003, 17:23
|
Участник
Профиль
Группа: Участник
Сообщений: 142
Регистрация: 25.02.2003
Из: Москва
Пользователь №: 5094
Конфигурация
Корпус: хз Процессор: Xeon Материнская плата: есть Оперативная память: есть Видеокарта: нет Жесткий диск (винчестер): нет Дисковод: 5.25" CD/DVD: а что это? Модем: тилифонный? Сетевой адаптер: нет Звуковая плата: нет Монитор: есть Операционная система: DOS Прочее: прочее
|
вообще то тебе лучше подписаться на новости, которые ведёт сам разработчик данной проксятины : news.extrasystems-freeware.org.ua он там кучу предложений рассматривает и все ошибки и все вопросы реашет ....
--------------------
не говорите мне что делать, и я не скажу вам куда идти .......
|
|
|
|
|
Gvan |
Среда, 23 Июля 2003, 17:26
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Перестроил правила. К сожалению, не помогло...
|
|
|
|
|
mokc0der |
Среда, 30 Июля 2003, 9:04
|
Участник
Профиль
Группа: Профессионалы
Сообщений: 1278
Регистрация: 20.12.2001
Из: Москва
Пользователь №: 859
Конфигурация
Корпус: Thermaltake LanMoto Процессор: Другой Материнская плата: ASUS A8N-SLI Оперативная память: DIMM DDR PC3200 2048 Mb Видеокарта: ASUS X300SE Жесткий диск (винчестер): WD3200KS + ST3200822А Дисковод: 3.5" CD/DVD: NEC ND-4571 Модем: Zyxel 662HW Сетевой адаптер: built-in Звуковая плата: built-in AC97 Монитор: Sony SDM S71R Операционная система: WinXP, Vista Прочее: Bluetooth dongle
IBM T42
|
Обыдно. У меня на Kerio Winroute все прекрасно работает. Открыты только 20 и 21
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|