none
Предоставление FTP-доступа без использования FTP Access Filter RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Необходимо предоставить FTP-доступ без использования FTP Access Filter (FTP Access Filter отключен).

    Создан протокол "FTP custom":

    Primary Connetions

    ------------------------

    Port Range: 21 

    Protocol Type: TCP

    Direction: Outbound

    Secondary Connetions 

    ------------------------

    Port Range: 1025-65535

    Protocol Type: TCP

    Direction: Outbound

    По этому протоколу предоставлен всем доступ в External. Однако, data connection не проходит.
    При попытке подключения в мониторинге видно, что Default rule блокирует data connection:
     
    192.168.1.54 ISA1 - TCP - - 28.03.2011 3:39:24 52710 0 0 0 0x0 ERROR_SUCCESS 0x0 0x0 Firewall - 28.03.2011 7:39:24 89.108.122.93 21 FTP custom Initiated Connection INTERNET 192.168.1.54 Internal External - -
    192.168.1.54 ISA1 - TCP - - 28.03.2011 3:39:24 52711 0 0 0 0x800733f5 WSA_RWS_ERROR_ACCESS_DENIED 0x0 0x0 Firewall - 28.03.2011 7:39:24 89.108.122.93 37692 TCP Outbound Denied Connection Default rule 192.168.1.54 Internal External
     
     
    Где грабли?



    28 марта 2011 г. 3:52

Все ответы

  • грабли как раз в том что ftp filter выключен :)
    28 марта 2011 г. 8:29
    Отвечающий
  • Спасибо, Капитан :-) FTP Access Filter должен быть отключен. Как настроить FTP доступ без него?
    28 марта 2011 г. 8:47
  • на каких основаниях его отключили? в курсе как ftp протокол вообще работает?
    28 марта 2011 г. 9:35
    Отвечающий
  • Основания есть, как работает FTP в курсе.
    28 марта 2011 г. 10:19
  • пробовал "левые" порты определить как primary connections?

    28 марта 2011 г. 11:46
    Отвечающий
  • Если добавить Port Range: 1025-65535 в primary connections то все работает.
    28 марта 2011 г. 17:59
  • ну вот и ответ
    фильтр как раз и нужен для того чтобы вторичное соединение работало. без него вторичные соединения не откроются. поэтому не очень ясен смысл отключения этого фильтра (кроме редких случаев, когда например хотят ftps с конкретными секондари портами)

    28 марта 2011 г. 18:13
    Отвечающий
  • Valery Grishko, ваш вопрос актуален?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    1 апреля 2011 г. 6:49
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    4 апреля 2011 г. 7:26
  • Проблема актуальна.
    Объясню почему выключен FTP Access Filter. 
    Архитектура:           
                                                                                          
              Internet
                 |
              Cisco Router (NAT)
                 |
              External  
                 |
              ISA (Routing)
                 |
              Internal
                 |  
                / \
      FTP Server   FTP Clients
    Для того что бы FTP сервер из Internet FTP-сервер настроен таким образом, что в комманде PORT указывается внешний адрес маршрутизатора Cisco. И это работает только при выключенном FTP Access Filter. Потому что FTP Access Filter блокирует FTP трафик из Internal, если в PORT указан внешний адрес не используемый самим ISA.
    24 октября 2011 г. 13:17
  • у меня в почти такой же схеме все работало, правда на исе тоже был NAT а не routing, сейчас вместо роутера стоит asa(она умнее) и в схеме nat-nat тоже все хорошо

    24 октября 2011 г. 14:20
    Отвечающий
  • Дмитрий,

    Что именно у вас работало, FTP Access Filter был включен или нет?

    Мой вопрос сводится к другому вопросу:

    Каким образом работает Secondary Connetions в определении протокола, каким образом ISA сервер определяет (должен определять) Secondary Connetions?

    25 октября 2011 г. 9:38
  • ftp работал без проблем, фильтр само собой был включен.

    secondary connections работают только если есть фильтр или установлен fwc

    25 октября 2011 г. 19:17
    Отвечающий
  • Дмитрий,

    Попробую еще раз задать свой вопрос, мне кажется вы меня не понимаете.

    Каким образом работает Secondary Connetions в определении протокола (в общем случае, не в случае FTP), каким образом ISA сервер определяет (должен определять) что это Secondary Connetions для одного протокола, а не Primary Connetions для другого?


    26 октября 2011 г. 6:06
  • The firewall is pre-loaded with an extensive list of predefined protocols (e.g., HTTP, SMTP, POP3, GRE) and allows administrators to easily add to this list. Complex protocols requiring secondary connections require either the firewall client software or an application filter.

    как это работает технически я не знаю - не я конструировал эту машину. общий принцип для вторичных соединений такой (не только для исы а для всех фаеров умеющих инспекцию на уровне приложений, например cisco asa) такой - фильтр инспектирует проктокол на уровне приложения, увидев команду port фильтр дает фаеру знать откуда куда и по какому порту разрешить дополнительный трафик. просто так вторичное соединение не откроется, так как без фильтра фаер не может быть уверен что это соединение относится к существующему коннекту.

    26 октября 2011 г. 7:38
    Отвечающий