Russian Users MikroTik | Форум пользователей MikroTik

Тема не особо касается именно Микротика, но все же касается его как роутера

Подскажите пожалуйста, как лучше сделать. Кто как делает у себя.

Я параноик... по этому последними правилами стоят:


Выше этих правил разрешающие input, output, forward именно на те порты которые нужны.
в NAT - только правило "src nat маскарадинг" на WAN порту роутера.

естественно в таком виде FTP клиент за роутером не может подрубиться к FTP серваку в инете.
Открывать порты 1024-65535 для forward в фаерволе, как-то параноя мешает... Добавление к правилу L7 сигнатуру FTP не помогло, видать она ловит именно "Привет" от клиента... сильно не вдавался, так как не подошло это L7
DST-NAT диапазона портов (может не сработало потому что диапазон, но вроде можно диапазон по мануалам Микротика забивать), заданных предварительно в filezilla на активный режим, не помогли - клиент сбрасывает в пассивный режим.
Как поступить в моем случае?

PS: порты 20-21 для forward разрешены (ну с разрешенными TCP 1024-65535 все работает, но не катит такой вариант)
Клиент FTP, который за роутером, может быть и Файлзилой... т.е. хоть какой-нибудь оптимальный под мои паранои вариант бы - не важно пассивный/активный.
???
PPS: FTP-proxy в Микротике вроде не нашел... Может какой-то неКостылный вариант с имеющимся проксиком в микротике можно провернуть?

Зачем самому себе создавать трудности, а затем их героически преодолевать?

Простейший вариант открывать порты на момент работы клиента, а затем закрывать.
Типа bat файлом через SSH.

Ну так вообще-то вам проще арендовать сервер в инете, скачивать инфу на него, ну а уж потом как забирать с него - это другое дело, есть и веб клиенты, бывают и специальные утилиты для синхронизации, хотя они тоже определенные порты используют.

gmx писал(а):Зачем самому себе создавать трудности, а затем их героически преодолевать?

Ну в целом никаких трудностей не создавал. Обычный вариант обезопасить, допустим, корпоративную сеть и юзеров самих от себя.

Нужно при минимальном открытии портов, сделать возможным заходить, например, на ftp://ftp.dlink.ru (любой ftp)

gmx писал(а): проще арендовать сервер в инете

нуууу, куда это Вас
задача: зайти на FTP через роутер, не открывая на_ружу 64 тысяч портов.

Хотите обезопасить корпоративную сеть и юзверов? Создайте VPN-сервер и пусть юзверь сначала подключится, а потом уже делает внутри вашей сети все что угодно без всяких пробросов и прочего. При этом весь трафик будет еще и шифроваться)

DeLL писал(а):Хотите обезопасить корпоративную сеть и юзверов? Создайте VPN-сервер и пусть юзверь сначала подключится, а потом уже делает внутри вашей сети все что угодно без всяких пробросов и прочего. При этом весь трафик будет еще и шифроваться)

Мужики, Вы чего? о чем речь?
есть задача, на определенных условиях... Зачем мне давать юзеру в инет все порты, чтобы он мог подрубить (для примера, не надо говорить что его надо резать так-то и так-то) тот же тимвьювер... если мне нужно дать юзеру инет, но только HTTP и FTP и ничего лишнего.

Пардонте, заново прочитал первый пост)
А что если динамически открывать порты для тех IP-адресов, которые стучатся наружу на 21 порт?
Прошел запрос на 21 порт, добавить в адрес-лист IP откуда стучатся и разрешить данному адрес-листу еще кучку портов на некоторое время

DeLL писал(а):А что если динамически открывать порты для тех IP-адресов, которые стучатся наружу на 21 порт?
Прошел запрос на 21 порт, добавить в адрес-лист IP откуда стучатся и разрешить данному адрес-листу еще кучку портов на некоторое время

ну в принципе, да - на первый взгляд - вариант ... я так понимаю осуществляться в основном будет АдресЛистами...



Какие еще есть предложения...?

А просто настроить клиента? Например указать точно порты, по которым работать в ftp?

Что мешает Вам уменьшить диапазон портов до скажем десятка? Или такой подход слишком ламерский?

podarok66 писал(а):настроить клиента? Например указать точно порты, по которым работать в ftp?

Не проблема, если кто-то пробовал подскажите, что настроить на роутере тогда надо...
На клиентской части выбираются порты - это и есть для активного режима FTP, т.е. клиент вместе со словом "Привет", отправляет серверу еще и порт по которому к клиенту он может подключиться (было бы достаточно и портов 100-500, меня бы это устроило.)... Т.е. я сделал тут DST-NAT на IP:port машины юзера...
Вот я в первом сообщении и написал, что пробовал (ведь надо же как-то серверу дойти до клиентского порта) диапазон портов, указанные в клиенте, DSTNAT-ить на IP компа юзера... но не сработало у меня, и клиент после неудачных попыток активного переходит в пассивный режим...
Я чувствую, что у меня руки где-то скривили, но не пойму где...
И все возникает вопрос про то, когда подключено множество юзеров, то уже все эти пробросы, DST-NAT уже не подойдут у меня пока мыслей нет.. как это осуществить... попробую придумать чего-нить на предложенную тему про открытие портов по стуку на 21 порт... но пока не знаю по какому "сигналу" прекращать юзеру доступ ко всем портам (возможно по "таймеру").

podarok66 писал(а):Или такой подход слишком ламерский?

можно и без сарказма

непонятно зачем аутпут резать, ну да ладно.

У вас клиент в любом случае с начало ломится на 21 порт, потом уже появляются пул портов. Кто мешает создать правило которое будет в адрес лист добавлять адрес назначения на некий промежуток времени. А в фаерволе уже создать соответствующее разрешение

Таким образом некто из вашей сети ломанулся на ФТП сервер, микротик это увидел и открыл порты для этого ФТП что бы обмен пошел. Через некоторое время адрес лист грохнется и порты закроются