Страница 1 из 2
Доступ к FTP через BM

Добавлено:
28 дек 2005, 18:48
msergeyp
Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?
Re: Доступ к FTP через BM

Добавлено:
29 дек 2005, 09:56
Мещеряков Андрей
sergeyp писал(а):Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?
А откуда уверенность, что права вам не режет сам ftp сервер? Что-то не припомню такого...

Добавлено:
29 дек 2005, 10:26
Владимир Горяев
Такое может быть если на ftp заход идет через http-прокси, клиент в таком режиме работает только в пассивном режиме.
Re: Доступ к FTP через BM

Добавлено:
29 дек 2005, 10:30
Dimerson
sergeyp писал(а):Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?
Как минимум 3 варианта :
1. ftp клиент который может подключаться методом HTTP Connect [например Flash FXP].
2. ftp client который умеет юзать socks-proxy [например cuteftp].
3. ftp клиент который может юзать FTP-Proxy из BM [CuteFTP].
вариантый 1 и 2 позволяют использовать SSO.
вариант 1 самый несекурный.
По сему лучше всего FTP Киент + Socks5 [в режиме SSO].
Re: Доступ к FTP через BM

Добавлено:
29 дек 2005, 14:01
Мещеряков Андрей
Dimerson писал(а):Как минимум 3 варианта :
1. ftp клиент который может подключаться методом HTTP Connect [например Flash FXP].
2. ftp client который умеет юзать socks-proxy [например cuteftp].
3. ftp клиент который может юзать FTP-Proxy из BM [CuteFTP].
вариантый 1 и 2 позволяют использовать SSO.
вариант 1 самый несекурный.
По сему лучше всего FTP Киент + Socks5 [в режиме SSO].
Вариант 3 тоже использует SSO...
А что должно быть настроено на сервере ?

Добавлено:
03 янв 2006, 12:17
msergeyp
Пробую подключапться по варианту 3
У меня включен FTP-прокси
На закладке Gateway включен IP/IP Gateway и SOCKS V4 и V5, в его настройках включено все Single Sign, None, Clear Text..., NDS User, SSL,
Socks V4.
В Access Rules разрешено, порты 21, 1080 для SOCKS, 8225 для IP/IP Gateway
В качестве клиента использую незарегистрированный CuteFTP 7.1 (его обязательно регистрировать для подключения ?)
STATUS:> Getting listing ""...
STATUS:> Resolving host name 10.3.0.81...
STATUS:> Connecting to socks5 server 10.3.0.81:8225, (ip = 10.3.0.81)...
STATUS:> Connected to socks5 server.
STATUS:> Connecting to FTP server 19.85.201.105:21 (ip = 19.85.201.105)...
Я так понимаю к BM коннектится, а дальше не идет. Прежде всего беспокоит вопрос все ли верно настроено на сервере, что можно отключить.
Re: А что должно быть настроено на сервере ?

Добавлено:
03 янв 2006, 19:18
Dimerson
sergeyp писал(а):Пробую подключапться по варианту 3
У меня включен FTP-прокси
На закладке Gateway включен IP/IP Gateway и SOCKS V4 и V5, в его настройках включено все Single Sign, None, Clear Text..., NDS User, SSL,
Socks V4.
В Access Rules разрешено, порты 21, 1080 для SOCKS, 8225 для IP/IP Gateway
В качестве клиента использую незарегистрированный CuteFTP 7.1 (его обязательно регистрировать для подключения ?)
STATUS:> Getting listing ""...
STATUS:> Resolving host name 10.3.0.81...
STATUS:> Connecting to socks5 server 10.3.0.81:8225, (ip = 10.3.0.81)...
STATUS:> Connected to socks5 server.
STATUS:> Connecting to FTP server 19.85.201.105:21 (ip = 19.85.201.105)...
Я так понимаю к BM коннектится, а дальше не идет. Прежде всего беспокоит вопрос все ли верно настроено на сервере, что можно отключить.
Судя по всему socks5 подключилсо.
варианты почему не работает :
1.ACL
2. ФИЛЬТРЫ
можно для проверки и то и то отключить и определить где крутить дальше.
P.S. Порты 1080 для SOCKS, 8225 для IP/IP Gateway ACL-ями никак разрешать не надо !!! с 21 согласен с этими нет . P.S. У ftp вообше-то не 1 порт.
ACL

Добавлено:
09 янв 2006, 16:53
msergeyp
Работает при отключенном ACL. Вернее разрешено все для всех.
Кстати IP/IP Gateway можно отключить.
Может кто подскажет что нужно включить в ACL вместо все для всех ?
Re: ACL

Добавлено:
09 янв 2006, 20:10
Dimerson
sergeyp писал(а):Работает при отключенном ACL. Вернее разрешено все для всех.
Кстати IP/IP Gateway можно отключить.
Может кто подскажет что нужно включить в ACL вместо все для всех ?
FROM NDS Obect to PORT [or PORT+ADRESS в особопараноидальных случаях]. тип сервиса ip gateway. Крыжик выставить для журнализации. все.
Нет такого сервиса ip gateway (Или не там ищу ?)

Добавлено:
10 янв 2006, 15:18
msergeyp
Нет такого сервиса ip gateway (Или не там ищу ?)
При вводе правила выбираю
Action Allow
Access Type Port
В Service пытаюсь отыскать ip gateway - нет.
У меня BM3.7SP3 Либо я не там ищу либо можно просто указать порт (какой ?)
Re: Нет такого сервиса ip gateway (Или не там ищу ?)

Добавлено:
10 янв 2006, 16:05
Dimerson
sergeyp писал(а):Нет такого сервиса ip gateway (Или не там ищу ?)
При вводе правила выбираю
Action Allow
Access Type Port
В Service пытаюсь отыскать ip gateway - нет.
У меня BM3.7SP3 Либо я не там ищу либо можно просто указать порт (какой ?)
Уточните вам что надо ? Ограничить доступ к портам или адресам FTP Серверов ?
Правило From NDS user to Any Adress Any Port уже как минимум устаноит restriction по имени NDS Пользователя.
Думаю годится PORT
Serviec Type FTP + Service TYPE FTP DATA
от NDS Пользователя.
Портов 20 и 21 недостаточно

Добавлено:
11 янв 2006, 12:31
msergeyp
Что касается того чего надо - надо закрыть все порты, кроме тех которые должны быть открыты для работы FTP - клиента
Портов 20 и 21 недостаточно
Выдается сообщение
ERROR:> Socks server reports: 'Connection not allowed by rule set'.
STATUS:> Waiting 0 seconds...
STATUS:> Getting listing "/"...
COMMAND:> PASV
Если открываю все порты - коннектится
Присутствует строка
STATUS:> Connecting FTP data socket 19.85.201.105:52380
Я так понимаю 52380 - номер порта, беда в том что он постоянно разный
Re: Портов 20 и 21 недостаточно

Добавлено:
11 янв 2006, 12:57
Dimerson
sergeyp писал(а):Что касается того чего надо - надо закрыть все порты, кроме тех которые должны быть открыты для работы FTP - клиента
Портов 20 и 21 недостаточно
Выдается сообщение
ERROR:> Socks server reports: 'Connection not allowed by rule set'.
STATUS:> Waiting 0 seconds...
STATUS:> Getting listing "/"...
COMMAND:> PASV
Если открываю все порты - коннектится
Присутствует строка
STATUS:> Connecting FTP data socket 19.85.201.105:52380
Я так понимаю 52380 - номер порта, беда в том что он постоянно разный
Курим про режимы работы ftp

Добавлено:
11 янв 2006, 14:05
Савельев Сергей
Добрый день!!!
Разные порты, говоришь
Нужны не только для FTP. но и ...
Я под это дело открыл диапазон портов с 1024-65535 со STATEFUL
и естественно правило соответствующее

Добавлено:
11 янв 2006, 14:13
Dimerson
Савельев сергей писал(а):Добрый день!!!
Разные порты, говоришь
Нужны не только для FTP. но и ...
Я под это дело открыл диапазон портов с 1024-65535 со STATEFUL
и естественно правило соответствующее
Ему не Exceptions, ему ACL для SCOSCKS5 из BM.
В обсчем в пассиве - будет строго 20 И 21.