20. juli 2003 - 23:30Der er
36 kommentarer og 1 løsning
Port forward - lidt spooky
Port forwarding virker ikke:
På min Cisco677 er NAT sat til at forwarde div. porte til 2 forskellige maskiner henholdsvis 192.168.1.2 og 192.168.1.3
Port 25, 80, 110 og 8889 er NAT'et til 192.168.1.2 og virker fint.
Port 20,21 og 9000 er NAT'et til 192.168.1.3 - men virker ikke... Jeg kan på ingen måde få hul igennem.
.2-maskinen er Win2K og .3-maskinen er XP-Pro...
Jeg har fjernet ICF fra XP-maskinen - både forsøgt mig med at slå den til og ALLOW'e disse porte og slået den fra og lade alt være åbent...
Jeg har tjecket TCP/IP-Filtering... No luck...
Jeg har checket samtlige aktive processer for at se om der skulle være rester efter tidligere installeret firewall, men nej...
Forsøger jeg at FTP'e fra .2 maskinen til .3 maskinen er der ingen problemer...
NAT på routeren virker fint for .2-maskinen - og entries'ene for .3-maskinen ser ligeså fine ud... Men ingen hul igennem...
Jeg vil gerne have hul på port 20,21 og 9000 på min .3-maskine...
Hvad er det jeg misser? Mit bud ligger selv i retning af routeren, som jeg ikke er skidestærk i, men det er kun NAT til den enkelte maskine, der ikke virker..
Der er 150 point, da jeg ikke leder efter henvisninger til en manual for 677'eren eller besked om at slå min firewall fra ;-)
Ellers start med en "set nat entry delete all" derefter dine entries: set nat entry add 192.168.1.2 25 set nat entry add 192.168.1.2 80 set nat entry add 192.168.1.2 110 set nat entry add 192.168.1.2 8889 set nat entry add 192.168.1.3 20 set nat entry add 192.168.1.3 21 set nat entry add 192.168.1.3 9000
Jeg laver altid en write / reboot efterfølgende for at sikre mig at den er helt ren.
Jeg håber dette hjælper - jeg har selv haft en del problemer pga. gamle entries laved numre.
Har allerede slettet NAT tabel først - og genindtastet igen... Som skrevet tidligere, så reagerede en nyinstalleret firewall på port 9000 på .3 maskinen, altså er NAT ok...
At åbne port 20 og 21 er meget godt, hvis du kører aktiv FTP, men hvis du kører passiv FTP skal du også åbne for port 1025 - 5000 for indadgående forbindelser. Jeg ved det er et mega hul, men du burde bruge en "stateful" firewall istedet for din router.
Det er IKKE routeren, den er gal med... Selv mistænker jeg XP's firewall for ikke at være slået helt fra - hvor underligt det end lyder, men har forsøgt at slå den til og dér mappe porte også... Det virker heller ikke... Derfor de 150 point, da det ikke bare er et router spørgsmål :-)
Nu skal jeg lige høre hvad du mener. Du siger i dit første indlæg at du tror det er routeren det er galt med, men nu siger du at det ikke er routeren det er galt med ? Umiddelbart vil jeg give dig ret i din første antagelse når du kan FTP'e fra .2 til .3. Der er mange variable her. Jeg kan se at du har checket services for rester af en afinstalleret firewall, så har du sikkert også set at din ICF service er stoppet. Har du checket at din FTP server ( IIS 5/6 formoder jeg ) har fået sat IP til "All Unassigned" ?. Du har lavet Destination NAT på indkommende forb, men har du også lavet Source NAT på dine udadgående forbindelser ? Hvis din server forsøger at "negotiate" en port med en klient så duer det ikke med IP 192.168.0.0/16 da den ikke routes på I-net. Jeg er ikke selv så stiv i Cisco IOS, faktisk ved jeg intet om det. Jeg ved heller ikke om Cisco 677 er "stateful" d.v.s. holder styr på forespøgsler og svar, samt forbindelses relaterede forbindelser, men det ved jeg en rigtig firewall kan. M.v.h. janpo
Med fare for at gentage mig selv, så er det IKKE routeren den er gal med... Har nu idag igen forsøgt mig med alle porte åbne på routeren - og ganske rigtigt; Traffik kan stadig registreres på .3 maskinen, men forbindelserne er failed...
jpjv har devist ret, man skal route de porte som din server anvender. Du skriver ikke hvilken FTP server du anvender, så kan du ikke lige oplyse det?
Jeg har en Cisco 677 og en FTP server - jeg anvender Bulletproof og er godt tilfreds med den.
Det du sandsynligvis mangler at gøre er at fortælle din server hvilken IP adresse der skal anvendes sammen med PASV commandoen. Dvs. den IP og port som din server og klienten fremover kummunikerer over.
Her er et eksempel på en NON-PASV konfiguration (Det virker kun internt på mit netværk): 230 User Local logged in. SYST 215 UNIX Type: L8 REST 100 350 REST supported. Ready to resume at byte offset 100. REST 0 350 REST supported. Ready to resume at byte offset 0. PWD 257 "/" is current directory. TYPE A 200 Type set to A. PORT 10,0,0,120,16,25 200 Port command successful. LIST 150 Opening data connection for directory list. 226 Transfer ok
Og her er et eksempel på en PASSIV login: 230 User Local logged in. SYST 215 UNIX Type: L8 REST 100 350 REST supported. Ready to resume at byte offset 100. REST 0 350 REST supported. Ready to resume at byte offset 0. PWD 257 "/" is current directory. TYPE A 200 Type set to A. PASV 227 Entering Passive Mode (212,242,x,y,70,140). <------HER SKER DET!!! LIST 150 Data connection accepted from 212.242.x.y:4123; transfer starting. 226 Transfer ok
Jeg har maskeret min IP, det rager ikke rigtigt jer ;-)
Jeg anvender FlashFXP til FTP forbindelser.
Hvis du anvender Bulletproff finder du denne setting under: FTP Server Setup -> Multi IP Settings Sæt hak ved "Passive mode IP" og indtast din public IP.
Dvs. løsningen burde være: 1) Route din FTP port (21) 2) Route data porte (default = 1024-65536) 3) Sæt din FTP server til at anvende din public IP sammen med PASV, og sørg for at alle klienter anvender PASV.
PASV gør at det er serveren og ikke klienten der bestemmer port og IP som der overføres data igennem.
Det er ikke kun FTP, der er problemet... Bl.a. bruger jeg også port 9000 til stream, port 6688 til VNC - Men intet af det virker... - Heller ikke selvom alle porte er routet til .3 maskinen...
Kan du ikke også lige dumpe din nat tabel her (Sh nat).
Jeg vil godt lige se om du har lavet den rigtigt.
Forsøg også lige jpvj's tip med at bytte rundt på ipadresserne.
Hvad står din DNS til?
Hvis du kører med DHCP vil jeg anbefale at du skifter ud til en fast IP adresse der ligger noget højere, f.eks. 192.168.1.120 og ændrer din NAT tabel til det.
"Der er foretaget portscan via grc.com: "Your computer has responded that this port exists but is currently closed to connections." (Port 21)"
"Hmmm... uanset hvad du siger, så virker det altså som om der er en firewall på .3 maskinen."
enig med jpvj i dette. Cisco 677 inneholder ingen firewall med unntak av den som indirekte foelger av NAT funksjonen. Naar en portscan utenfra kan detekte port 21 saa ser det ut som om forwardingen fungerer. Naar den saa blir detektet som "closed for connections" saa tyder dette enten paa at det finnes en firewall paa ftp maskinen eller at ftp serveren for eksempel er slik konfigurert at den ikke godtar de aktuelle avsender ip.
Jeg er lidt uenig i at grc.com's "closed" betyder at der er en firewall på .3 maskinen. Havde der været det ville grc.com have meldt "stealth". Det er min overbevisning at grc.com melder "closed" når der modtages en "TCP Reset" fra target msakinen og "Stealth" når der ikke er noget svar overhovedet inden for "TCP timeout". Jeg tror ikke at det er en firewall, som forstyrrer mindblower. Jeg tror stadig at din FTP server er sat forkert op således at den ikke tillader forbindelser fra IP'er uden for det netværk den selv er på. Alt det her havde været "A piece of cake" hvis det havde været lavet i *NIX, men i vil jo absolut bruge Windows :-) Hvad med i det mindste at bruge et Windows server OS ?
Jeg har i de sidste par dage forsøgt mig med et par andre porte.... Min maskine tér sig fuldstændigt som om der var en firewall på... Ingen adgang for eksterne maskiner...
Meeen - der er vitterligt ingen firewall...
Jeg havde vel forventet, at en anden bruger måske havde oplevet det samme i XP - At IFC var lidt underlig eller noget...
Ja, du må undskylde mindblower, men jeg synes ikke det ligner opførslen af en firewall ( jeg har efterhånden konfigureret en del med iptables ) selvom forbindelses problemet er ret typiskt i sådanne tilfælde. Jeg har ca. 25 Win XP Pro kørende på arbjede og ikke på en eneste af dem har ICF opført sig mærkeligt, men nu har jeg heller ikke prøvet at køre en server (andet end VNC) på nogen af dem. Jeg giver op, men glæder mig til at se hvad løsningen bliver.
Når det virker fra M2 til M3 men ikke udefra via router, vil jeg kigge mere på routeren end på M3.
Derfor ville det hjælpe meget hvis du kunne vise os din NAT tabel - bare lav en "show nat" og editer outputtet i notepad. Reboot evt. routeren først for at fjerne alle de midlertidige entries.
Her er et eksempel fra min egen router: Local IP : Port Global IP : Port Timer Flags Proto Interface 10.0.0.110:80 *****:80 0 0x02041 *** eth0 10.0.0.110:21 *****:21 0 0x02041 *** eth0 10.0.0.110:123 *****:123 0 0x02041 *** eth0 10.0.0.110:81 *****:81 0 0x02041 *** eth0 10.0.0.110:25 *****:25 0 0x02041 *** eth0 10.0.0.110:110 *****:110 0 0x02041 *** eth0
Disse er ligegyldige: (x.x.x.x er min eksterne IP - tallet 3510 er TTL) 10.0.0.120:137 x.x.x.x:137 3510 0x04046 udp eth0 wan0-0 Den er generet indefra pga. et kald - og jeg ved godt at port 137 er Net-Bios, men man kommer ikke igennem udefra med et Netbios kald.
Port forklaring: 80 = WWW 21 = FTP 123 = ? - kan jeg ikke lige huske 81 = WWW (i tilfælge Cybercity igen lukker for port 80 adgang (skete under Code Red udbrudet) 25 : SMTP (Mailserver) 110 : POP3 (Mail adgang)
Jeg bruger kun min FTP på port 21 til at se hvor meget trafik jeg får fra folk der scanner mig - men den virker som der er sat op her.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
