Страница 1 из 3
Проброс портов FTP
Добавлено: 30 сен 2017, 19:58
sarge
Здравствуйте,
Есть куча мануалов как пробросить порты, но на этой железке произошел затык
Дано:
Server 2012 Standard + Filezilla FTP в локалке на порту 2121(для пассивного режима(25000-25050)
Mikrotik RB951G(RouterOs v6.15) в качестве шлюза.
Нужно пробросить FTP снаружи на локальный сервер.
Настраивал через веб-интерфейс, но вот экспорт правил:
Код: Выделить всё
/ip firewall filter
add chain=forward dst-address=XX.XXX.XX.XX dst-port=2121 in-interface=\
ether1-gateway protocol=tcp
add chain=forward dst-address=XX.XXX.XX.XX dst-port=25000-25050 in-interface=\
ether1-gateway port="" protocol=tcp
/ip firewall nat
add action=netmap chain=dstnat connection-type="" dst-address=XX.XXX.XX.XX \
dst-port=2121 in-interface=ether1-gateway protocol=tcp to-addresses=\
192.168.1.100 to-ports=2121
add action=netmap chain=dstnat dst-address=XX.XXX.XX.XX dst-port=25000-25050 \
in-interface=ether1-gateway port="" protocol=tcp to-addresses=192.168.1.100 \
to-ports=25000-25050
В результате telnet XX.XXX.XX.XX 2121 - не дает ничего.
Что интересно, замапил также RDP на тот же сервер - все взлетело ракетой!
Из локалки к серверу, все соединяется нормально.
Не пойму, где я ошибся?
Может сервак 2012 как-то режет(фаервол я отключил специально)?
Re: Проброс портов FTP
Добавлено: 30 сен 2017, 20:58
Vlad-2
sarge писал(а):Код: Выделить всё
/ip firewall filter
add chain=forward dst-address=XX.XXX.XX.XX dst-port=2121 in-interface=\
ether1-gateway protocol=tcp
add chain=forward dst-address=XX.XXX.XX.XX dst-port=25000-25050 in-interface=\
ether1-gateway port="" protocol=tcp
1)
Отключите то, что я выше оставил из Вашего поста.
Хотя бы временно, на 2-5 минуты, и пробуйте.
2)
счётчики правил проброса (в закладке НАТ) при попытках - с нуля двигаются хоть?
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 00:00
sarge
Отключил правила в фаерволе что вы написали.
Результата нет.
Счетчик на вкладке NAT на этих правилах стоит по нулям
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 00:05
Vlad-2
sarge писал(а):Отключил правила в фаерволе что вы написали.
Результата нет.
Счетчик на вкладке NAT на этих правилах стоит по нулям
1) правила пока не трогать (не включать)
2) открываем (идём) в IP-Firewall-Connections
там формируем фильтр (наверно удобно будет по айпи внутренному сервера смотреть)
и делайте подключения и смотрите что Вы видите, и главное какие порты(номера).
Ибо если в Ваших правилах проброса счётчики не идут..значит правила не срабатывают.
Подключения надо делать НЕ со своего подключения!!!
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 00:47
sarge
Зашел в connections
Не сообразил как сделать фильтр по адресу, но там и так все понятно, коннектов не так много.
Специально зашел на RDP другого сервера, (чтоб не с домашней машины, которая глядит в роутер) и ничего не ощутил.
Т.е. тупо запустил путти по телнету на 2121 и в Connections ничего похожего на соединение по 2121 порту не увидел
Что можно сделать еще?
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 00:49
Dragon_Knight
"in-interface=ether1-gateway", - у Вас интернет по DHCP идёт? Или PPPoE\PPTP\...
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 00:58
sarge
Там белый статический IP.
Т.е. все стандартно.
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 00:59
Vlad-2
sarge писал(а):Зашел в connections
Что можно сделать еще?
У Вас точно провайдер даёт белый (реальный) адрес?
Ну и вопрос
Дракона - Вы как подключены к Интернету (статика, или через РРТР/Л2ТР/РРРоЕ) ?
P.S.
зайдите в правила проброса и проверьте, Вы случайно не какое там поле пустым не оставили?
обычно кликая мышкой, поле активируется, и может подставляться пустота или какое то дефолтное
значение. По Вашему экспорту - в одном правиле есть пустое значение.
P.P.S.
Надеюсь что у сервера 192.168.1.100 куда сделан проброс, в качестве шлюза указан айпи адрес микротика?!
(это обязательное условие!)
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 01:08
sarge
Я не новичок в настройке сетей.
Весь офис, включая этот сервер, ходит в инет через этот шлюз(который я и поднимал), уже давно.
За статический адрес мы платим отдельно, он у нас постоянный уже года три как...
Никаких VPN, чистый роутинг.
Естественно на сервере шлюз указан правильно, иначе бы он инета не видел!
В правилах проброса, там много пустых полей, уточните пожалуйста, может я какое-то забыл?
Re: Проброс портов FTP
Добавлено: 01 окт 2017, 01:10
Dragon_Knight
Есть пустое поле, а если выключенное. Это разные вещи. Пустых полей быть не должно.
И Вы по прежнему не ответили про тип подключения.