none
Публикация FTP-сервера через TMG RRS feed

  • Вопрос

  • Здравствуйте!

    Полдня уже мучаюсь, помогите, пожалуйста.

    Есть edge-firewall с forefront tmg 2010, через него необходимо опубликовать внутренний FTP-сервер на базе IIS 7. Авторизация - обычная, никакого SSL, доступ по ip.

    Делал как написано здесь http://microsoftguru.com.au/2010/11/02/setup-ftp-7-5-on-windows-server-2008-and-publish-through-forefront-tmg-2010/

    Если вкратце - поднял фтп на IIS, потом прописал одно правило публикации ftp-сервера и одно access-правило.

    Внешние клиенты получали либо ошибку 425, либо сообщение типа "у вас нет доступа к сетевой папке". В FAQ'е написано, что надо где-то дополнительно прописывать внутренние динамические порты. Как это сделать? Дополнительное правило прописывать (в настройках существующих стоит allow traffic from any source port)?

    Подскажите, плз, что ещё можно сделать?

    25 января 2013 г. 15:28

Все ответы

  • Динамические порты специально прописывать не нужно: это делает фильтр FTP-доступа. Но для этого в правиле публикации нужно использовать протокол, для которого этот фильтр подключен (фильтр включается на уровне протокола, а не правила), лучше всего - встроенный протокол "FTP сервер" (только проверьте, что фильтр там действительно включен, его могли выключить). Кроме того, в правиле публикации доступ может быть ограничен режимом "только для чтения" (проверьте). Далее, правило публикации может быть настроено таким образом, что сервер видит в качестве IP-адреса клиента IP-адрес внутреннего интерфейса TMG - это может вызвать конфликт с правилами доступа, настроенными на самом сервере FTP. Если Вам надо настроить публикацию таким образом, чтобы доступ к ней был возможен с определенных адресов IP, не надо делать никакого правила доступа - это настраивается в свойствах самого правила публикации: на вкладке откуда вместо объекта "везде" выберите сетевой объект (компьютер, подсеть, диапазон адресов, набор компьютеров), который включает в себя только адреса, откуда допустимо подключение.

    PS В следующий раз, пожалуйста, сообщайте настройки правила публикации, чтобы не приходилось гадать, как именно у Вас там настроено и давать несколько советов для разных вариантов.


    Слава России!

    25 января 2013 г. 19:37
  • Прошу прощения за сумбур в первом сообщении - мозг закипал.

    Правила доступа настроены так:

    Первое правило - публикация FTP-сервера, порт 21й, протокол FTP-server, фильтр включён, активный режим включён, режим read-only выключен, в качестве адреса клиента серверу показывается собственный адрес клиента. Listener - External.

    Второе правило - разрешение доступа к FTP (access rule). Протоколы - FTP-server, FTP over HTTP, FTP. Listener - external, internal. В закладке "To" стоит внутренний адрес FTP-сервера (сетевой объект - компьютер).

    Задача - просто открыть доступ к FTP, IP-адреса клиентов ограничивать не надо, диапазон портов менять тоже нет необходимости.

    Извне доступ на этот сервер выглядит так: стучимся, нас спрашивают имя пользователя и пароль, а потом говорят, что "отсутствует доступ к папке". Такое впечатление, что запросы на сервер приходят, а вот его ответы вовне не отправляются. Подскажите, плз, как это можно исправить?


    • Изменено Jozheg9 28 января 2013 г. 7:08
    28 января 2013 г. 7:07
  • второе правило лишнее.

    логи что пишут?

    28 января 2013 г. 9:42
    Отвечающий
  • второе правило выключил, спасибо.

    в логах примерно так (фильтрую по протоколу):

    "A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond."

    Сама запись появляется очень долго, Processing time: 21138ms.

    p.s. теперь сервер почему-то даже логин-пароль не спрашивает. Может, попробовать с маршрутами или web-chaining'ом поиграть?
    • Изменено Jozheg9 28 января 2013 г. 10:24
    28 января 2013 г. 10:22
  • а у ftp сервера шлюзом по умолчанию выставлен tmg?

    маршруты и web-chaining трогать не надо - этой задаче не поможет

    28 января 2013 г. 11:08
    Отвечающий
  • Спасибо за подсказку со шлюзом, действительно неправильный адрес был вбит. Поправил, перезапустил на всякий случай ftp-сайт.

    Теперь с удалённых машин выдаёт "500 server returned invalid response for PASV command".

    Лог фаерволла при этом утверждает, что соединения открываются-закрываются корректно. Единственное, что смущает, в логе в графе "NAT address" стоит другой ip, не тот, на котором я сервер публикую (у меня ISP Redundancy в режиме load balancing). Может ли так быть, что сервер посылает ответ на запрос по другому интерфейсу и оттого все проблемы? Если да, то как это поправить?


    • Изменено Jozheg9 28 января 2013 г. 11:44
    28 января 2013 г. 11:43