Jump to content
  • 0

ftp server hap ac2


nikolae
 Share

Question

Здравейте,

Hap ac2 със закачена към него флашка. Потребители, партишън са настроение, в ip - services  съм сменил порта на ftp - 221, като във firewall e отворен порта.

chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=221 log=no log-prefix=""

В локална мрежа работи, когато се опитвам да го вляза от вън (wan мрежа) дава следната грешка:

Status:	Retrieving directory listing...
Command:	PWD
Response:	257 "/" is current directory
Command:	TYPE I
Response:	200 Type set to I
Command:	PASV
Response:	227 Entering Passive Mode (78,83,109,95,236,214).
Command:	LIST
Response:	425 Can't build data connection
Error:	Failed to retrieve directory listing

Не мога да намеря къде се задават кои пасивни портове да ползва фтп сървъра на микротик?

Имам два фтп сървъра на машини в локалната мрежа, които са отворени и пренасочени и работят, но за микротик фтп сървър не намерих информация.

Благодаря предварително !

 

Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator

Това е рутер не е NAS 
Щом влизаш локално а отвън не, логично е да си провериш входящите ограничения.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

И аз пробвах FTP-то на hap ac2. Съвсем базови настройки има и освен за някакви дреболии в локалната мрежа, за друго просто не става фтп-то в ROS.

Да не говорим трагичните скорости, особено в едната посока (забравих, мисля беше при даунлоуд), дори с HDD.
И аз имах добро желание да го ползвам примерно за някакви бекъпи/архиви, но просто се отказах и повече няма да го погледна. По-скоро бих сглобил едно raspberry Pi 3 или както съм си направил - мултифункционален "сървър"/машина 24/7, която изпълнява доста функции.

Link to comment
Share on other sites

  • 0

В локална мрежа с флашка работи ок 3-4 МБ/сек,  което ми е ок. 

Освен nas-а бих се радвал и това да може да се ползва. 

@111111

Firewall-а да прикача тук? 

Link to comment
Share on other sites

  • 0
Преди 9 часа, trapatoni написа:

И аз пробвах FTP-то на hap ac2. Съвсем базови настройки има и освен за някакви дреболии в локалната мрежа, за друго просто не става фтп-то в ROS.

Да не говорим трагичните скорости, особено в едната посока (забравих, мисля беше при даунлоуд), дори с HDD.
И аз имах добро желание да го ползвам примерно за някакви бекъпи/архиви, но просто се отказах и повече няма да го погледна. По-скоро бих сглобил едно raspberry Pi 3 или както съм си направил - мултифункционален "сървър"/машина 24/7, която изпълнява доста функции.

Колегата 111111 е отговорил най-правилно точно над твоя пост:

Преди 13 часа, 111111 написа:

Това е рутер не е NAS 

 

Link to comment
Share on other sites

  • 0

Само с един порт няма да стане.

Стандартно: 
FTP uses two TCP connections for communication. One to pass control information, and is not used to send files on port 21, only control information. And the other, a data connection on port 20 to send the data files between the client and the server.

Разгледай процеса на комуникация и ще си намериш подходящо решение.

https://documentation.meraki.com/MX/NAT_and_Port_Forwarding/Active_and_Passive_FTP_Overview_and_Configuration

България - земя, като една човешка дLAN...
". . . явно самото оптично влакно привлича светкавиците и ги пуска по мрежата във вид на ярка светлина и се задръства сичко от мноото светлина . . ."


Всички мои обяви - network.olx.bg

Изпращам само с ЕКОНТ. Не изпращам със спиди/speedy! Никога вече!!!

Link to comment
Share on other sites

  • 0

При положение, че услугата е налична и се поддържа да не я ползвам ли?

Пробвах преди това с 20 порт отворен навън, отново се не се получи.

Ясно, ми е че с един порт няма да стане, затова питам някой дали знае пасивните портове на фтп на микротик как се указват (или кои се ползват).

Отговор от рода "това е рутер, а не нас" не е уместен според мен.

Отделно да се отворят портовете 1024-65535 също не ми се струва редно.

След написаното от мен, не вярвам някой да помогне, но все ако изяви желание, прилагам firewall-a

# nov/07/2019 13:54:08 by RouterOS 6.45.7
# software id = G8AC-QXNU
#
# model = RBD52G-5HacD2HnD
# serial number = A6470AE67982
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="http WAN" dst-port=8080 protocol=tcp
add action=accept chain=input comment="https WAN" dst-port=58291 protocol=tcp
add action=accept chain=input comment="ftp router" dst-port=2221 \
    in-interface=ether1-WAN protocol=tcp
add action=accept chain=input dst-port=20 in-interface=ether1-WAN protocol=\
    tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=transmission dst-port=9091 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.7 to-ports=\
    9091
add action=dst-nat chain=dstnat comment="rdp pc" dst-port=53389 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.11.2 to-ports=3389
add action=dst-nat chain=dstnat comment="ftp storage" dst-port=2121 protocol=\
    tcp to-addresses=192.168.11.7 to-ports=21
add action=dst-nat chain=dstnat comment="ftp pc" dst-port=21 protocol=tcp \
    to-addresses=192.168.11.2 to-ports=2121
add action=dst-nat chain=dstnat comment="https storage" dst-port=8443 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.7 to-ports=\
    443
add action=dst-nat chain=dstnat comment=torrent dst-port=44222 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.11.2 to-ports=44222
add action=dst-nat chain=dstnat comment=WOL disabled=yes dst-port=9 \
    in-interface=ether1-WAN protocol=udp to-addresses=192.168.11.2 to-ports=9
add action=dst-nat chain=dstnat comment=netgear dst-port=8888 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.11.11 to-ports=8888
add action=dst-nat chain=dstnat comment="ssh storage" dst-port=2222 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.7 to-ports=\
    22
add action=dst-nat chain=dstnat comment="ftp passive pc" dst-port=40000-40400 \
    in-interface=ether1-WAN in-interface-list=all protocol=tcp to-addresses=\
    192.168.11.2 to-ports=40000-40400
add action=dst-nat chain=dstnat comment="ftp passive storage" dst-port=\
    50000-50400 in-interface=ether1-WAN protocol=tcp to-addresses=\
    192.168.11.7 to-ports=50000-50400
add action=dst-nat chain=dstnat comment="http WAN" disabled=yes dst-port=8080 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.11.1 to-ports=\
    8080
add action=netmap chain=dstnat comment=wol dst-port=9 protocol=udp \
    to-addresses=192.168.11.2

 

Edited by nikolae
Link to comment
Share on other sites

  • 0
Преди 22 часа, nikolae написа:

Здравейте,

Hap ac2 със закачена към него флашка. Потребители, партишън са настроение, в ip - services  съм сменил порта на ftp - 221, като във firewall e отворен порта.


chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=221 log=no log-prefix=""

В локална мрежа работи, когато се опитвам да го вляза от вън (wan мрежа) дава следната грешка:


Status:	Retrieving directory listing...
Command:	PWD
Response:	257 "/" is current directory
Command:	TYPE I
Response:	200 Type set to I
Command:	PASV
Response:	227 Entering Passive Mode (78,83,109,95,236,214).
Command:	LIST
Response:	425 Can't build data connection
Error:	Failed to retrieve directory listing

Не мога да намеря къде се задават кои пасивни портове да ползва фтп сървъра на микротик?

Имам два фтп сървъра на машини в локалната мрежа, които са отворени и пренасочени и работят, но за микротик фтп сървър не намерих информация.

Благодаря предварително !

 

Пробвахте ли с добавяне на още едно правило в стената за активна сесия?:

/ip fi n chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=20

.......

Сега видях , че имате правилото и според мен би трябвало FTP да сработва в актив мод !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

То в актив ще сработи сигурно, ама и аз в такъв случай бих се интересувал от пасив мод, което за мен е критично, особено ако ще се достъпва от мобилен телефон, и отвсякъде почти, където човек е зад NAT.

Иначе наличието на FTP доколкото знам по-скоро за някакви файлчета/архиви/бекъпи човек да трансферира от/към рутера чат пат, а не да замества нормален ФТП-нас. Но за който му върши работа и в този супер постен вид, всеки си решава.

Edited by trapatoni
Link to comment
Share on other sites

  • 0

Колегите с FTP-тата, нали знаете, че усер нейма и паролата се изпращат като гол текст? ..... това само между другото 🙂 

Link to comment
Share on other sites

  • 0

@JohnTRIVOLTA
Да, аз го имам.
chain=input action=accept protocol=tcp in-interface=ether1-WAN dst-port=20 log=no log-prefix=""
Интересното, е че като е отворен порта минават разни byte-ове в опит за връзка.

@Щирлиц
Това, което си пратил каква връзка има с пасивните портове на микротик фтп сървъра?
И да, знам, че credentials са в plain text.

Отворих тестово портовете 1-65535 и във firewall - connection гледам кои пасивни портове се ползват.
Просто всеки път са различни. В един момент мислих, че ползва само от 50 000 нагоре, но понякога
иска 30 000, 40 000... всеки път различно. Все си мисля, че няма начин да не може да му се окаже 
кои пасивни портове да ползва. Всеки умрял фтп сървър го може 😕

Edited by nikolae
Link to comment
Share on other sites

  • 0

Защо не ползвате SFTP? Аз го ползвам от край време само него. На всичкото отгоре е само с един порт.

Link to comment
Share on other sites

  • 0

В крайна сметка някой успял ли е да фтп-то за wan?

 

пп.намерих ключа за бараката

Firewall - services - ftp 

 

Благодаря на всички отзовали се !

 

Edited by nikolae
Link to comment
Share on other sites

  • 0
Преди 3 часа, nikolae написа:

В крайна сметка някой успял ли е да фтп-то за wan?

 

пп.намерих ключа за бараката

Firewall - services - ftp 

 

Благодаря на всички отзовали се !

 

Какво значение има дали е WAN или LAN ? На който интерфейс разрешиш на него ще има услугата . Важното е да си направиш група с политики само с ftp, read, write , която да ползваш за потрбителите на услугата . В тои ред на мисли до сега не съм имал проблем с този протокол ! Инак L7 нат хелпъра ти е за порт на сървър в LAN , а не за този на самият рутер ?! Как ти е помогнало?

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.