[Makc666]

Цитата:

Сообщение от kelta

Hi.
Установил себе FTP Serv-U v6.1.0.5, настроил LAN.
У меня такой вот вопрос: какие правила прописать в Outpost (ver. 3.0.543.5722 (431)), чтобы он давал ftp нормально (т.е. вообще) работать?
Стандартные правила ftp только для клиента, под ними фаервол ее блокирует, а прописывать в доверенные не очень-то и хочется.

Сначала немного цитаты из помощи программы TMeter:

Цитата:

Как учитывать FTP-трафик?

FTP аббревиатура обозначает "File Transfer Protocol" или "Протокол передачи файлов". Существует два режима FTP-соединений: Активный FTP и Пассивный FTP. Правила, которые вам потребуются для учета FTP-трафика зависят от используемого режима. По умолчанию, большинство браузеров используют Пассивный FTP, в то время как большинство FTP клиентских программ (например, CuteFTP, Internet Neighborhood, WS-FTP) используют Активный FTP.

FTP-протокол подразумевает два различных соединения между клиентом и FTP-сервером. Первое соединение называется "управляющим" (control connection). Оно предназначено для "входа" клиента в FTP-сервера, перехода между каталогами в FTP-сервере и т.п. Для того, чтобы получить список файлов с сервера, скачать файл с сервера или закачать файл на сервер, используется второе соединение, называемое "соединение для передачи данных" (data connection).

Управляющее соединение одинаково для Активного и Пассивного режима. Клиент инициирует TCP-соединение с динамического порта (1024-65535) к порту номер 21 на FTP-сервере и говорит "Привет! Я хочу подключится к тебе. Вот мое имя и мой пароль". Дальнейшие действия зависят от того, какой режим FTP (Активный или Пассивный) выбран.

В Активном режиме, когда клиент говорит "Привет!" он так же сообщает серверу номер порта (из динамического диапазона 1024-65535) для того, чтобы сервер мог подключиться к клиенту для установки соединения для передачи данных. FTP-сервер подключается к заданному номеру порта клиента используя со своей стороны номер TCP-порта 20 для передачи данных.

В Пассивном режиме, после того как клиент сказал "Привет!", сервер сообщает клиенту номер TCP-порта (из динамического диапазона 1024-65535), к которому можно подключится для установки соединения передачи данных.

Главное отличие между Активным режимом FTP и Пассивным режимом FTP - это сторона, которая открывает соединение для передачи данных. В Активном режиме, клиент должен принять соединение от FTP-сервера. В Пассивном режиме, клиент всегда инициирует соединение.

Пример Активного соединения:
[1] Control Connection: Client port 1026 -> Server port 21
[2] Data Connection: Client port 1027 <- Server port 20

Пример Пассивного соединения:
[1] Control Connection: Client port 1026 -> Server port 21
[2] Data Connection: Client port 1027 -> Server port 2065

Эта информация будет вам достаточна, чтобы создать правила для посчета трафика FTP. Обратите внимание на опцию "FTP data" в редакторе правила. Если эта опция включена, то TMeter будет корректно подсчитывать трафик соединения передачи данных (активное или пассивное) путем динамического добавления дополнительных правил.

Достаточно создать правило для Serv-U на разрешение всех входящих соединений по 21 порту (или другому, если он другой) + Динамическая фильтрация.
ВАЖНО!!! Правило нужно создавать полностью/изначально вручную, т.е. не использовать уже созданные автоматически правила.

Если между Вашим FTP Serv-U и клиентами есть сторонний фаервол, то тогда цитата из помощи Serv-U:

Цитата:

Passive Mode Data Transfers Behind a Firewall
If Serv-U is running behind a firewall or proxy server with address translation, passive mode data transfers (as used by all Web browsers) will generally not work. The reason is that the IP address of the server is not the same as the IP address outside users should use to connect to the server. Serv-U does not know this, and when the FTP client program asks for its passive IP address it will give the wrong (internal) address.

You can often tell if your server is behind a firewall or proxy server because the server’s IP address is a dummy IP address, which can only be used locally on a LAN, and which will not work over the Internet. Any IP address starting with these numbers is a dummy IP address:

192.168.xxx.xxx
172.16.xxx.xxx – 172.31.xxx.xxx
10.xxx.xxx.xxx

You can use the "Help | Local IP Address" menu selection to view the IP address(es) of your computer.

What is needed is some way to tell Serv-U what IP address it should hand out to FTP clients when they want to do a passive mode data transfer, the right address is the IP address the outside world should use to connect to the server. This can be done via the Domain Settings Advanced tab. In that tab is an entry for IP for passive mode, which is where the IP address to report to FTP clients goes.

Example
Say a server is behind a firewall, and has an IP address 192.168.0.10. The outside world accesses the server by using, for example, address 243.56.78.1. To make passive mode work, enter '243.56.78.1' as the IP to use for passive mode for the domain.

The above assumes the firewall is set up to pass all the needed packets on to the server. In particular, this means the firewall has to allow incoming TCP connections to port 21 on the server, allow outgoing TCP connections from port 20 (for regular mode data transfers), and allow incoming TCP connections to any random port between 1024 and 65535 on the server (for passive mode transfers). Depending on what the firewall allows to pass it may be that despite passive mode address translation it is still not possible to use passive mode for data transfers.

If the firewall is blocking incoming connections to ports between 1024 and 65535 not all is lost yet. You may be able to open up the firewall to pass a limited range of ports to be used for passive mode data transfers. The Advanced tab in the Server Settings is used to accomplish this.