ftp server hap ac2

[nikolae]

Здравейте,

Hap ac2 със закачена към него флашка. Потребители, партишън са настроение, в ip - services  съм сменил порта на ftp - 221, като във firewall e отворен порта.

chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=221 log=no log-prefix=""

В локална мрежа работи, когато се опитвам да го вляза от вън (wan мрежа) дава следната грешка:

Status:	Retrieving directory listing...
Command:	PWD
Response:	257 "/" is current directory
Command:	TYPE I
Response:	200 Type set to I
Command:	PASV
Response:	227 Entering Passive Mode (78,83,109,95,236,214).
Command:	LIST
Response:	425 Can't build data connection
Error:	Failed to retrieve directory listing

Не мога да намеря къде се задават кои пасивни портове да ползва фтп сървъра на микротик?

Имам два фтп сървъра на машини в локалната мрежа, които са отворени и пренасочени и работят, но за микротик фтп сървър не намерих информация.

Благодаря предварително !

 

[111111]

Това е рутер не е NAS 
Щом влизаш локално а отвън не, логично е да си провериш входящите ограничения.

[trapatoni]

И аз пробвах FTP-то на hap ac2. Съвсем базови настройки има и освен за някакви дреболии в локалната мрежа, за друго просто не става фтп-то в ROS.

Да не говорим трагичните скорости, особено в едната посока (забравих, мисля беше при даунлоуд), дори с HDD.
И аз имах добро желание да го ползвам примерно за някакви бекъпи/архиви, но просто се отказах и повече няма да го погледна. По-скоро бих сглобил едно raspberry Pi 3 или както съм си направил - мултифункционален "сървър"/машина 24/7, която изпълнява доста функции.

[nikolae]

В локална мрежа с флашка работи ок 3-4 МБ/сек,  което ми е ок. 

Освен nas-а бих се радвал и това да може да се ползва. 

@111111

Firewall-а да прикача тук? 

[Щирлиц]

Преди 9 часа, trapatoni написа:

И аз пробвах FTP-то на hap ac2. Съвсем базови настройки има и освен за някакви дреболии в локалната мрежа, за друго просто не става фтп-то в ROS.

Да не говорим трагичните скорости, особено в едната посока (забравих, мисля беше при даунлоуд), дори с HDD.
И аз имах добро желание да го ползвам примерно за някакви бекъпи/архиви, но просто се отказах и повече няма да го погледна. По-скоро бих сглобил едно raspberry Pi 3 или както съм си направил - мултифункционален "сървър"/машина 24/7, която изпълнява доста функции.

Колегата 111111 е отговорил най-правилно точно над твоя пост:

Преди 13 часа, 111111 написа:

Това е рутер не е NAS 

 

[plameni]

Само с един порт няма да стане.

Стандартно: 
FTP uses two TCP connections for communication. One to pass control information, and is not used to send files on port 21, only control information. And the other, a data connection on port 20 to send the data files between the client and the server.

Разгледай процеса на комуникация и ще си намериш подходящо решение.

https://documentation.meraki.com/MX/NAT_and_Port_Forwarding/Active_and_Passive_FTP_Overview_and_Configuration

[nikolae]

При положение, че услугата е налична и се поддържа да не я ползвам ли?

Пробвах преди това с 20 порт отворен навън, отново се не се получи.

Ясно, ми е че с един порт няма да стане, затова питам някой дали знае пасивните портове на фтп на микротик как се указват (или кои се ползват).

Отговор от рода "това е рутер, а не нас" не е уместен според мен.

Отделно да се отворят портовете 1024-65535 също не ми се струва редно.

След написаното от мен, не вярвам някой да помогне, но все ако изяви желание, прилагам firewall-a

# nov/07/2019 13:54:08 by RouterOS 6.45.7
# software id = G8AC-QXNU
#
# model = RBD52G-5HacD2HnD
# serial number = A6470AE67982
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="http WAN" dst-port=8080 protocol=tcp
add action=accept chain=input comment="https WAN" dst-port=58291 protocol=tcp
add action=accept chain=input comment="ftp router" dst-port=2221 \
    in-interface=ether1-WAN protocol=tcp
add action=accept chain=input dst-port=20 in-interface=ether1-WAN protocol=\
    tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=transmission dst-port=9091 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.7 to-ports=\
    9091
add action=dst-nat chain=dstnat comment="rdp pc" dst-port=53389 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.11.2 to-ports=3389
add action=dst-nat chain=dstnat comment="ftp storage" dst-port=2121 protocol=\
    tcp to-addresses=192.168.11.7 to-ports=21
add action=dst-nat chain=dstnat comment="ftp pc" dst-port=21 protocol=tcp \
    to-addresses=192.168.11.2 to-ports=2121
add action=dst-nat chain=dstnat comment="https storage" dst-port=8443 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.7 to-ports=\
    443
add action=dst-nat chain=dstnat comment=torrent dst-port=44222 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.11.2 to-ports=44222
add action=dst-nat chain=dstnat comment=WOL disabled=yes dst-port=9 \
    in-interface=ether1-WAN protocol=udp to-addresses=192.168.11.2 to-ports=9
add action=dst-nat chain=dstnat comment=netgear dst-port=8888 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.11.11 to-ports=8888
add action=dst-nat chain=dstnat comment="ssh storage" dst-port=2222 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.7 to-ports=\
    22
add action=dst-nat chain=dstnat comment="ftp passive pc" dst-port=40000-40400 \
    in-interface=ether1-WAN in-interface-list=all protocol=tcp to-addresses=\
    192.168.11.2 to-ports=40000-40400
add action=dst-nat chain=dstnat comment="ftp passive storage" dst-port=\
    50000-50400 in-interface=ether1-WAN protocol=tcp to-addresses=\
    192.168.11.7 to-ports=50000-50400
add action=dst-nat chain=dstnat comment="http WAN" disabled=yes dst-port=8080 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.1 to-ports=\
    8080
add action=netmap chain=dstnat comment=wol dst-port=9 protocol=udp \
    to-addresses=192.168.11.2

 

Edited November 7, 2019 by nikolae

[JohnTRIVOLTA]

Преди 22 часа, nikolae написа:

Здравейте,

Hap ac2 със закачена към него флашка. Потребители, партишън са настроение, в ip - services  съм сменил порта на ftp - 221, като във firewall e отворен порта.

chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=221 log=no log-prefix=""

В локална мрежа работи, когато се опитвам да го вляза от вън (wan мрежа) дава следната грешка:

Status:	Retrieving directory listing...
Command:	PWD
Response:	257 "/" is current directory
Command:	TYPE I
Response:	200 Type set to I
Command:	PASV
Response:	227 Entering Passive Mode (78,83,109,95,236,214).
Command:	LIST
Response:	425 Can't build data connection
Error:	Failed to retrieve directory listing

Не мога да намеря къде се задават кои пасивни портове да ползва фтп сървъра на микротик?

Имам два фтп сървъра на машини в локалната мрежа, които са отворени и пренасочени и работят, но за микротик фтп сървър не намерих информация.

Благодаря предварително !

 

Пробвахте ли с добавяне на още едно правило в стената за активна сесия?:

/ip fi n chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=20

.......

Сега видях , че имате правилото и според мен би трябвало FTP да сработва в актив мод !

Edited November 7, 2019 by JohnTRIVOLTA

[Щирлиц]

nikolae, щом толкова държиш, заповядай: https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

[trapatoni]

То в актив ще сработи сигурно, ама и аз в такъв случай бих се интересувал от пасив мод, което за мен е критично, особено ако ще се достъпва от мобилен телефон, и отвсякъде почти, където човек е зад NAT.

Иначе наличието на FTP доколкото знам по-скоро за някакви файлчета/архиви/бекъпи човек да трансферира от/към рутера чат пат, а не да замества нормален ФТП-нас. Но за който му върши работа и в този супер постен вид, всеки си решава.

Edited November 7, 2019 by trapatoni

[JohnTRIVOLTA]

От публична страна само през ВПН ползвам FTPто , ако се налага !

[Щирлиц]

Колегите с FTP-тата, нали знаете, че усер нейма и паролата се изпращат като гол текст? ..... това само между другото  

[nikolae]

@JohnTRIVOLTA
Да, аз го имам.
chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=20 log=no log-prefix=""
Интересното, е че като е отворен порта минават разни byte-ове в опит за връзка.

@Щирлиц
Това, което си пратил каква връзка има с пасивните портове на микротик фтп сървъра?
И да, знам, че credentials са в plain text.

Отворих тестово портовете 1-65535 и във firewall - connection гледам кои пасивни портове се ползват.
Просто всеки път са различни. В един момент мислих, че ползва само от 50 000 нагоре, но понякога
иска 30 000, 40 000... всеки път различно. Все си мисля, че няма начин да не може да му се окаже 
кои пасивни портове да ползва. Всеки умрял фтп сървър го може

Edited November 7, 2019 by nikolae

[stanstanyov]

Защо не ползвате SFTP? Аз го ползвам от край време само него. На всичкото отгоре е само с един порт.

[nikolae]

В крайна сметка някой успял ли е да фтп-то за wan?

 

пп.намерих ключа за бараката

Firewall - services - ftp 

 

Благодаря на всички отзовали се !

 

Edited November 11, 2019 by nikolae

[JohnTRIVOLTA]

Преди 3 часа, nikolae написа:

В крайна сметка някой успял ли е да фтп-то за wan?

 

пп.намерих ключа за бараката

Firewall - services - ftp 

 

Благодаря на всички отзовали се !

 

Какво значение има дали е WAN или LAN ? На който интерфейс разрешиш на него ще има услугата . Важното е да си направиш група с политики само с ftp, read, write , която да ползваш за потрбителите на услугата . В тои ред на мисли до сега не съм имал проблем с този протокол ! Инак L7 нат хелпъра ти е за порт на сървър в LAN , а не за този на самият рутер ?! Как ти е помогнало?

Edited November 11, 2019 by JohnTRIVOLTA