Avatar billede mindblower28 Nybegynder
20. juli 2003 - 23:30 Der er 36 kommentarer og
1 løsning

Port forward - lidt spooky

Port forwarding virker ikke:

På min Cisco677 er NAT sat til at forwarde div. porte til 2 forskellige maskiner henholdsvis 192.168.1.2 og 192.168.1.3

Port 25, 80, 110 og 8889 er NAT'et til 192.168.1.2 og virker fint.

Port 20,21 og 9000 er NAT'et til 192.168.1.3 - men virker ikke... Jeg kan på ingen måde få hul igennem.

.2-maskinen er Win2K og .3-maskinen er XP-Pro...

Jeg har fjernet ICF fra XP-maskinen - både forsøgt mig med at slå den til og ALLOW'e disse porte og slået den fra og lade alt være åbent...

Jeg har tjecket TCP/IP-Filtering... No luck...

Jeg har checket samtlige aktive processer for at se om der skulle være rester efter tidligere installeret firewall, men nej...

Forsøger jeg at FTP'e fra .2 maskinen til .3 maskinen er der ingen problemer...

NAT på routeren virker fint for .2-maskinen - og entries'ene for .3-maskinen ser ligeså fine ud... Men ingen hul igennem...

Jeg vil gerne have hul på port 20,21 og 9000 på min .3-maskine...

Hvad er det jeg misser? Mit bud ligger selv i retning af routeren, som jeg ikke er skidestærk i, men det er kun NAT til den enkelte maskine, der ikke virker..

Der er 150 point, da jeg ikke leder efter henvisninger til en manual for 677'eren eller besked om at slå min firewall fra ;-)

Bitte hilfen Sie mir ;-)
Avatar billede rummanden Nybegynder
21. juli 2003 - 01:19 #1
Log ind på din 667 og ping din .3 ... noget luck med det ?
Avatar billede mindblower28 Nybegynder
21. juli 2003 - 01:24 #2
Installerede for sjov en firewall på .3 - og den reagerede på udefrakommende trafik på port 9000, så NAT'en burde være fin...

Så det er mere, hvad der forhindrer trafikken på port 20,21 og 9000 på min .3 maskine...
Avatar billede mindblower28 Nybegynder
21. juli 2003 - 14:00 #3
Slet ikke nogen hjælp at hente ? :-)
Avatar billede itopia Nybegynder
21. juli 2003 - 15:26 #4
Har du slette din nat tabel først?

Ellers start med en "set nat entry delete all"
derefter dine entries:
set nat entry add 192.168.1.2 25
set nat entry add 192.168.1.2 80
set nat entry add 192.168.1.2 110
set nat entry add 192.168.1.2 8889
set nat entry add 192.168.1.3 20
set nat entry add 192.168.1.3 21
set nat entry add 192.168.1.3 9000

Jeg laver altid en write / reboot efterfølgende for at sikre mig at den er helt ren.

Jeg håber dette hjælper - jeg har selv haft en del problemer pga. gamle entries laved numre.

Port 9000: Er det til en anden TS forbindelse?
Avatar billede itopia Nybegynder
21. juli 2003 - 15:29 #5
Manualen siger vist noget om at man skal bruge formatet:

set nat entry add 192.168.1.2 25 <ydre ip> 25 tcp

Men ovenstående virker fint for mig.

Så har jeg dem stående som 192.168.1.2 25 * 25 tcp (så vidt jeg husker)

/iTopia
Avatar billede mindblower28 Nybegynder
21. juli 2003 - 15:33 #6
Har allerede slettet NAT tabel først - og genindtastet igen... Som skrevet tidligere, så reagerede en nyinstalleret firewall på port 9000 på .3 maskinen, altså er NAT ok...

Det er altså lokalt på .3 maskinen, at det fejler
Avatar billede janpo Nybegynder
28. juli 2003 - 21:19 #7
At åbne port 20 og 21 er meget godt, hvis du kører aktiv FTP, men hvis du kører passiv FTP skal du også åbne for port 1025 - 5000 for indadgående forbindelser. Jeg ved det er et mega hul, men du burde bruge en "stateful" firewall istedet for din router.
Avatar billede mindblower28 Nybegynder
28. juli 2003 - 23:34 #8
Ikke et svar, der virker i denne sammenhæng, da det ikke er routeren den er gal med...
Avatar billede jpvj Nybegynder
28. juli 2003 - 23:37 #9
mindblower28> Hvordan tester du, at det ikke virker for port 21 og 22?
Avatar billede mindblower28 Nybegynder
29. juli 2003 - 00:06 #10
Via FTP fra ekstern maskine... Connection failed... Både som aktiv/passiv
Avatar billede jpvj Nybegynder
29. juli 2003 - 02:20 #11
Mente selv. 20 og 21. Hvorfor åbner du for port 20 i indgående retning? Den bruges vist ikke...

Det er serveren der - i active mode - åbner en forb. FRA port 20 til en "tilfældig" port på klienten.

Hvis du skal køre passive mode, skal du sætte din server op til at bruge en bestemt port range, og derefter mappe denne range ind.
Avatar billede jpvj Nybegynder
29. juli 2003 - 02:21 #12
Hvis du lige skal have frisket din FTP vide op, er her en fremrangende guide...

http://slacksite.com/other/ftp.html
Avatar billede jpvj Nybegynder
29. juli 2003 - 02:22 #13
Hvis begge maskiner står bag en nat'in router, skal du lige holde tungen lige i munden...

Jeg vil mene, at det nemmeste er at køre passive under hensyn tagen til min forrige kommentar.

JP
Avatar billede jpvj Nybegynder
29. juli 2003 - 02:34 #14
Beklager stavefejl... klokken er vist lidt mange
Avatar billede mindblower28 Nybegynder
29. juli 2003 - 09:12 #15
Det er IKKE routeren, den er gal med... Selv mistænker jeg XP's firewall for ikke at være slået helt fra - hvor underligt det end lyder, men har forsøgt at slå den til og dér mappe porte også... Det virker heller ikke... Derfor de 150 point, da det ikke bare er et router spørgsmål :-)
Avatar billede janpo Nybegynder
29. juli 2003 - 17:02 #16
Nu skal jeg lige høre hvad du mener. Du siger i dit første indlæg at du tror det er routeren det er galt med, men nu siger du at det ikke er routeren det er galt med ? Umiddelbart vil jeg give dig ret i din første antagelse når du kan FTP'e fra .2 til .3. Der er mange variable her. Jeg kan se at du har checket services for rester af en afinstalleret firewall, så har du sikkert også set at din ICF service er stoppet. Har du checket at din FTP server ( IIS 5/6 formoder jeg ) har fået sat IP til "All Unassigned" ?.
Du har lavet Destination NAT på indkommende forb, men har du også lavet Source NAT på dine udadgående forbindelser ? Hvis din server forsøger at "negotiate" en port med en klient så duer det ikke med IP 192.168.0.0/16 da den ikke routes på I-net. Jeg er ikke selv så stiv i Cisco IOS, faktisk ved jeg intet om det. Jeg ved heller ikke om Cisco 677 er "stateful" d.v.s. holder styr på forespøgsler og svar, samt forbindelses relaterede forbindelser, men det ved jeg en rigtig firewall kan.
M.v.h.
janpo
Avatar billede mindblower28 Nybegynder
29. juli 2003 - 21:00 #17
Med fare for at gentage mig selv, så er det IKKE routeren den er gal med... Har nu idag igen forsøgt mig med alle porte åbne på routeren - og ganske rigtigt; Traffik kan stadig registreres på .3 maskinen, men forbindelserne er failed...
Avatar billede jpvj Nybegynder
29. juli 2003 - 21:12 #18
Hvis du sætter en maskine direkte op mod .3 kan du så FTP'e til den?
Avatar billede jpvj Nybegynder
29. juli 2003 - 21:15 #19
Læste lige dit første indlæg, og det har du faktisk gjort.

Med den opsætning du har jf. første indlæg, så er det kun aktiv FTP der vil fungere.

Den maskine du tester med - sidder den også bag en router med NAT?
Avatar billede itopia Nybegynder
29. juli 2003 - 21:29 #20
jpjv har devist ret, man skal route de porte som din server anvender.
Du skriver ikke hvilken FTP server du anvender, så kan du ikke lige oplyse det?

Jeg har en Cisco 677 og en FTP server - jeg anvender Bulletproof og er godt tilfreds med den.

Det du sandsynligvis mangler at gøre er at fortælle din server hvilken IP adresse der skal anvendes sammen med PASV commandoen.
Dvs. den IP og port som din server og klienten fremover kummunikerer over.

Her er et eksempel på en NON-PASV konfiguration (Det virker kun internt på mit netværk):
230 User Local logged in.
SYST
215 UNIX Type: L8
REST 100
350 REST supported. Ready to resume at byte offset 100.
REST 0
350 REST supported. Ready to resume at byte offset 0.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PORT 10,0,0,120,16,25
200 Port command successful.
LIST
150 Opening data connection for directory list.
226 Transfer ok

Og her er et eksempel på en PASSIV login:
230 User Local logged in.
SYST
215 UNIX Type: L8
REST 100
350 REST supported. Ready to resume at byte offset 100.
REST 0
350 REST supported. Ready to resume at byte offset 0.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (212,242,x,y,70,140).    <------HER SKER DET!!!
LIST
150 Data connection accepted from 212.242.x.y:4123; transfer starting.
226 Transfer ok

Jeg har maskeret min IP, det rager ikke rigtigt jer ;-)

Jeg anvender FlashFXP til FTP forbindelser.

Hvis du anvender Bulletproff finder du denne setting under:
FTP Server Setup -> Multi IP Settings
Sæt hak ved "Passive mode IP" og indtast din public IP.

Dvs. løsningen burde være:
1) Route din FTP port (21)
2) Route data porte (default = 1024-65536)
3) Sæt din FTP server til at anvende din public IP sammen med PASV, og sørg for at alle klienter anvender PASV.

PASV gør at det er serveren og ikke klienten der bestemmer port og IP som der overføres data igennem.

Lad mig høre om det virker...

/iTopia
Avatar billede mindblower28 Nybegynder
29. juli 2003 - 21:58 #21
Det er ikke kun FTP, der er problemet... Bl.a. bruger jeg også port 9000 til stream, port 6688 til VNC - Men intet af det virker... - Heller ikke selvom alle porte er routet til .3 maskinen...
Avatar billede itopia Nybegynder
29. juli 2003 - 22:14 #22
Hvis man connector til din server udefra via FTP, hvilken fejl får man så?

Er du sikker på at man ikke kun bruger port 9000 til forbindelse når man streamer og så får en anden port når man er forbundet ligesom ved FTP?

Samme gælder for VNC: Hvilken fejl, og er der i dens klient opsætning noget om routing og den slags?

Hvad siger din IPCONFIG /ALL på begge maskiner?

/iTopia
Avatar billede mindblower28 Nybegynder
29. juli 2003 - 22:24 #23
FTP:

Connection failed

Ja - Port 9000 bruges til stream - Ikke kun til at connecte på.

VNC - Failed to connect to server

Alle forespørgelser til porte på .3 maskinen failer - Forsøger jeg at route dem til 2. maskinen, så er der ingen problemer.
Avatar billede itopia Nybegynder
29. juli 2003 - 22:27 #24
Men alt virker hvis du connector fra 2. maskine til 3. maskine?

Og så kom lige med din IP opsætning på begge maskiner.

/iTopia
Avatar billede mindblower28 Nybegynder
29. juli 2003 - 22:34 #25
IP adress: 192.168.1.3
Subnet: 255.255.255.0
Default gateway: 192.168.1.1

IP adress: 192.168.1.3
Subnet: 255.255.255.0
Default gateway: 192.168.1.1

Begge er konfigureret manuelt
Avatar billede mindblower28 Nybegynder
29. juli 2003 - 22:34 #26
... og alt virker fra .2 maskine...
Avatar billede langbein Nybegynder
29. juli 2003 - 23:54 #27
Er det er vel en trykkfeil at begge ip er like ??

Ville ellers forsoekt med en portscan utenfra og kontrollert om port 20/21 er synlig.

Har ellers kjoert forskellige ftp servere gjennom Cisco 677 tidligere og det har ikke gitt noe problem.

Hvis numrene er .2 og .3 saa ser jo ellers subnettmasker og ip'er riktige ut.
Avatar billede mindblower28 Nybegynder
30. juli 2003 - 00:17 #28
Det var en trykfejl :-)

Der er foretaget portscan via grc.com: "Your computer has responded that this port exists but is currently closed to connections." (Port 21)

Jeg kan også sagtens køre FTP og streame på min .2 maskine (hvis jeg altså ændrer NAT), men ikke fra min .3 maskine
Avatar billede jpvj Nybegynder
30. juli 2003 - 01:34 #29
Hmmm... uanset hvad du siger, så virker det altså som om der er en firewall på .3 maskinen.

Jeg kunne godt tænke mig at du testede med følgende: Sluk .3 maskinen og skift ip på .2 maskinen til .3 og start en FTP server på denne maskine.

Hvis dette virker, så har du en firewall kørende på .3 maskinen (den slukkede), som du ikke har styr på...

JP
Avatar billede itopia Nybegynder
30. juli 2003 - 07:46 #30
Kan du ikke også lige dumpe din nat tabel her (Sh nat).

Jeg vil godt lige se om du har lavet den rigtigt.

Forsøg også lige jpvj's tip med at bytte rundt på ipadresserne.

Hvad står din DNS til?

Hvis du kører med DHCP vil jeg anbefale at du skifter ud til en fast IP adresse der ligger noget højere, f.eks. 192.168.1.120 og ændrer din NAT tabel til det.

/iTopia
Avatar billede langbein Nybegynder
30. juli 2003 - 11:09 #31
"Der er foretaget portscan via grc.com: "Your computer has responded that this port exists but is currently closed to connections." (Port 21)"

"Hmmm... uanset hvad du siger, så virker det altså som om der er en firewall på .3 maskinen."

enig med jpvj i dette. Cisco 677 inneholder ingen firewall med unntak av den som indirekte foelger av NAT funksjonen. Naar en portscan utenfra kan detekte port 21 saa ser det ut som om forwardingen fungerer. Naar den saa blir detektet som "closed for connections" saa tyder dette enten paa at det finnes en firewall paa ftp maskinen eller at ftp serveren for eksempel er slik konfigurert at den ikke godtar de aktuelle avsender ip.
Avatar billede janpo Nybegynder
30. juli 2003 - 20:05 #32
Jeg er lidt uenig i at grc.com's "closed" betyder at der er en firewall på .3 maskinen. Havde der været det ville grc.com have meldt "stealth". Det er min overbevisning at grc.com melder "closed" når der modtages en "TCP Reset" fra target msakinen og "Stealth" når der ikke er noget svar overhovedet inden for "TCP timeout". Jeg tror ikke at det er en firewall, som forstyrrer mindblower. Jeg tror stadig at din FTP server er sat forkert op således at den ikke tillader forbindelser fra IP'er uden for det netværk den selv er på. Alt det her havde været "A piece of cake" hvis det havde været lavet i *NIX, men i vil jo absolut bruge Windows :-) Hvad med i det mindste at bruge et Windows server OS ?
Avatar billede mindblower28 Nybegynder
30. juli 2003 - 20:41 #33
Nu må I da snart forstå, at det ikke kun er FTP?

Jeg har i de sidste par dage forsøgt mig med et par andre porte.... Min maskine tér sig fuldstændigt som om der var en firewall på... Ingen adgang for eksterne maskiner...

Meeen - der er vitterligt ingen firewall...

Jeg havde vel forventet, at en anden bruger måske havde oplevet det samme i XP - At IFC var lidt underlig eller noget...
Avatar billede janpo Nybegynder
30. juli 2003 - 20:55 #34
Ja, du må undskylde mindblower, men jeg synes ikke det ligner opførslen af en firewall ( jeg har efterhånden konfigureret en del med iptables ) selvom forbindelses problemet er ret typiskt i sådanne tilfælde.
Jeg har ca. 25 Win XP Pro kørende på arbjede og ikke på en eneste af dem  har ICF opført sig mærkeligt, men nu har jeg heller ikke prøvet at køre en server (andet end VNC) på nogen af dem. Jeg giver op, men glæder mig til at se hvad løsningen bliver.
Avatar billede itopia Nybegynder
30. juli 2003 - 22:33 #35
Når det virker fra M2 til M3 men ikke udefra via router, vil jeg kigge mere på routeren end på M3.

Derfor ville det hjælpe meget hvis du kunne vise os din NAT tabel - bare lav en "show nat" og editer outputtet i notepad.
Reboot evt. routeren først for at fjerne alle de midlertidige entries.

Her er et eksempel fra min egen router:
Local IP : Port      Global IP : Port      Timer Flags    Proto Interface
10.0.0.110:80              *****:80          0  0x02041  ***  eth0
10.0.0.110:21              *****:21          0  0x02041  ***  eth0
10.0.0.110:123            *****:123          0  0x02041  ***  eth0
10.0.0.110:81              *****:81          0  0x02041  ***  eth0
10.0.0.110:25              *****:25          0  0x02041  ***  eth0
10.0.0.110:110            *****:110          0  0x02041  ***  eth0

Disse er ligegyldige: (x.x.x.x er min eksterne IP - tallet 3510 er TTL)
    10.0.0.120:137    x.x.x.x:137      3510  0x04046  udp  eth0 wan0-0
Den er generet indefra pga. et kald - og jeg ved godt at port 137 er Net-Bios, men man kommer ikke igennem udefra med et Netbios kald.


Port forklaring:
80 = WWW
21 = FTP
123 = ? - kan jeg ikke lige huske
81 = WWW (i tilfælge Cybercity igen lukker for port 80 adgang (skete under Code Red udbrudet)
25 : SMTP (Mailserver)
110 : POP3 (Mail adgang)

Jeg bruger kun min FTP på port 21 til at se hvor meget trafik jeg får fra folk der scanner mig - men den virker som der er sat op her.

Men lad os se din, det er dig der har problemet!

/iTopia
Avatar billede virtus Nybegynder
28. august 2003 - 15:05 #36
Mindblower
Overvejet at ligge en 2000 pro på maskinen, selvfølgelig kun hvis du kan være foruden XP ;)

Evt. bruge en ledig disk til formålet, så du hurtigt og nemt kan gå tilbage til XP såfremt en 2000 pro installation ikke løser dit problem.

Virtus
Avatar billede mindblower28 Nybegynder
29. september 2007 - 11:46 #37
Tråd forældet
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester