none
Acesso cliente FTP a um FTP Ativo RRS feed

  • Pergunta

  • Boa tarde.

    Possuo um ISA Server 2006 com Windows 2003 server SP2. 

    Meu problema se dá em uma certa situação. Uma máquina qualquer com o ISA Cliente instalado e um cliente de FTP pode acessar um FTP, listar diretórios, efetuar download e upload. Porém este utiliza muito pouco de banda. Algo em torno de 40Kbps, sendo que outras máquinas que não passam pelo ISA fazem os mesmo downloads em algo como 250kbs, 300kbps.

    Lí no link abaixo que poderia ser algo de Filtro FTP, mas não consegui me situar.

    Nele informa que downloads com webproxy é limitado para transferência.

    http://technet.microsoft.com/en-us/library/cc750609.aspx

    Alguém dos senhores poderia me auxiliar neste caso? Preciso urgente melhor a transferência de FTP.

    Um abraço!!

    terça-feira, 21 de setembro de 2010 20:26

Respostas

  • Miguel,

    Uma boa seria isolar o problema pra identificar o que está dificultando o fluxo, claro em um horario conveniente, colocar um IP válido na ETH1 do seu ISA(creio que vc receba um link de internet no ASA) e verificar se o trafego continua lento pra FTP. Caso não continue lento, pode haver algo no ASA limitando acesso FTP vindo desse ISA.

    At.

    Andrew Bezerra - R2A Sistemas

     

    • Marcado como Resposta Miguel Longo sexta-feira, 24 de setembro de 2010 18:06
    quinta-feira, 23 de setembro de 2010 16:13

Todas as Respostas

  • Miguel,

    Existem casos de download lento causado por algum erro nas configurações das interfaces de rede do Servidor que tem o ISA instalado.

    Verifique se os servidores de DNS informados nas interfaces estão respondendo corretamente, essa pode ser uma das causas.

     

    At.

    Andrew Bezerra - R2A Sistemas

    quarta-feira, 22 de setembro de 2010 15:56
  • Boa tarde Andrew

    Este meu server está configurado da seguinte forma:

    eth0: (LAN)

    ip: 192.168.2.xxx/24

    dns: 192.168.2.2 e 192.168.2.8 (meus dois controladores de domínio)

    Sem gateway

     

    eth1: (link direto na FastEthernet de um Cisco ASA)

    ip: 192.168.6.xxx/24

    sem DNS

    gw: 192.168.6.1 (o ASA).

     

    Acredito que pode não ser isso, mas está ai a config das duas placas. Uma está na minha LAN onde meus usuários chegam até o ISA e o outro está no router.

    O que achas que pode ser?

    Um Abraço!

     

    quarta-feira, 22 de setembro de 2010 18:09
  • Um adendo.

    Eu deixei o DNS somente na placa da LAN para registrar somente o ip da LAN para o FQDN. Antes havia nas duas placas, porém quando mandava o ISA Client sincronizar ele estava resolvendo o eth1 do ISA, não conseguindo chegar no ISA por bloqueio de ACL para aquela interface.

    Att.

    quarta-feira, 22 de setembro de 2010 18:14
  • Miguel,

    Pelo jeito vc não usa esse ISA como firewall, vc deve ter suas razões.

    Porem achei estranho que na sua placa que ETH1 não ter um dns externo configurado.

    Tente colocar o DNS público que o seu ISP fornece na placa ETH1.

    At.

    Andrew Bezerra - R2A Sistemas

    quarta-feira, 22 de setembro de 2010 23:54
  • Bom dia Andrew!

    Cara, deixa eu explicar o porque desta config.

    Temos muitos sites e aplicações que devem ser resolvidos para o DNS interno, por exemplo webmail. O principal motivo desta configuração é redução de processamento de banda no ASA. Temos vários túneis VPN (IPSec, este seria o motivo de não ter o ISA como Firewall de fronteira) com outros locais e também com o Data Center que seria nosso caso crítico de consumo de banda e processamento. Por isso fizemos este tipo de configuração onde o que puder não passar pelo router é interessantíssimo.

    Ao colocar na ETH1 um DNS público, como citado, máquinas com o cliente proxy (ISA Client) irão resolver para o IP comercial do nome solicitado. Até pelo o que sei, máquinas com ISA Client instalado, quem resolve nome seria o proxy, no caso o ISA.

    Como temos no regras que negam este tipo de acesso para o ip comercial de uma aplicação que está na LAN, já não haveria acesso. Agora imagine todos passando pelo router para sair e depois entrar no router (acredito que seria este o caminho).

    É um pouco complicado de falar, pois temos muitas ferramentas, aplicações, SIP, enfim que justificam o motivo desta configuração.

    O que acho estranho é quem em outra filial, temos outro ISA com as mesmas característica deste. Da mesma forma de configuração de interface de rede e também de regras, porém não ocorre este fato de limitar em mais de 50% de banda.

    Acredito que tenha ficado claro Andrew e obrigado pela ajuda.

    Um abraço!

    quinta-feira, 23 de setembro de 2010 11:37
  • Miguel,

    Uma boa seria isolar o problema pra identificar o que está dificultando o fluxo, claro em um horario conveniente, colocar um IP válido na ETH1 do seu ISA(creio que vc receba um link de internet no ASA) e verificar se o trafego continua lento pra FTP. Caso não continue lento, pode haver algo no ASA limitando acesso FTP vindo desse ISA.

    At.

    Andrew Bezerra - R2A Sistemas

     

    • Marcado como Resposta Miguel Longo sexta-feira, 24 de setembro de 2010 18:06
    quinta-feira, 23 de setembro de 2010 16:13
  • Bom dia Andrew.

    Irei verificar este caso e posto algum resultado até terça-feira da semana que vem. O motivo desta demora é justamente o horário conveniente para esta troca.

     

    Abraço!

    sexta-feira, 24 de setembro de 2010 11:26
  • Amigos,

     

    Vamos la, as boas praticas Microsoft dizem que deve existir DNS configurado somente na PLACA INTERNA, ou seja seus DNS internos devem estar configurado ali.

    O detalhe importante, é nos seus servidores DNS, estar configurado o encaminhamento de pesquisa com os IPs dos seus DNSs dos seus provedores, ok?

     

    A sua regra de FTP esta funcionando com securenat ou webproxy?

     

    No aguardo


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 24 de setembro de 2010 17:48
    Moderador
  • Andrew.

    Achei o problema.

    No Cisco tenho o link com IP válido em uma range de IPs e também entradas ADSL de 10Mb para FTP, Wireless, efim. O erro estava sim no Cisco. A negociação da Fast Ethernet com o modem estava errado. Vi depois com mais cuidado que havia erro na placa. Mudei esta config e consegui ter meu download de FTP na média de 400Kbps.

    Muito obrigado pela ajuda mesmo. Eu já imaginava que o problema não era no ISA, mas bati nisso pois foi feito algumas atualizações de regras do mesmo. HAvia esquecido que também havíamos atualizado o IOS do ASA.

    Um abraço e obrigado novamente.

    sexta-feira, 24 de setembro de 2010 18:06
  • Boa tarde Luiz Fernando.

    Obrigado pela ajuda, mas como informei acima era um problema de negociação no Cisco.

    Obrigado novamente.

    PS.

    Sabes onde consigo um material legal sobre configurações em SecureNAT e WebProxy?

    Um abraço!

    sexta-feira, 24 de setembro de 2010 18:08
  • Eu estou voltando meu site no ar....tenho basnte coisas disso...

     

    Na verdade nao tem mto segredo, vc precisa sempre verificar quais protocolos aceitam oque...entende?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 24 de setembro de 2010 18:49
    Moderador
  • Bom dia Fernando.

    Sim cara, entendo perfeitamente. Como em minha empresa as atividades são segmentadas e minha responsabilidade e ambiente Windows, somente depois que o responsável pelo Cisco estava disponível que puder ver esta falha.

    Mesmo assim agradeço o pessoal que deu uma força.

    Quando o site estiver no ar me avise (m1guelpt@hotmai.com).

     

    Um abraço!

    segunda-feira, 27 de setembro de 2010 16:28
  • valeu cara.

    precisando é só falar.

    abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 27 de setembro de 2010 17:16
    Moderador