Страница 1 из 2

Доступ к FTP через BM

СообщениеДобавлено: 28 дек 2005, 18:48
msergeyp
Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?

Re: Доступ к FTP через BM

СообщениеДобавлено: 29 дек 2005, 09:56
Мещеряков Андрей
sergeyp писал(а):Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?

А откуда уверенность, что права вам не режет сам ftp сервер? Что-то не припомню такого...

СообщениеДобавлено: 29 дек 2005, 10:26
Владимир Горяев
Такое может быть если на ftp заход идет через http-прокси, клиент в таком режиме работает только в пассивном режиме.

Re: Доступ к FTP через BM

СообщениеДобавлено: 29 дек 2005, 10:30
Dimerson
sergeyp писал(а):Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?


Как минимум 3 варианта :

1. ftp клиент который может подключаться методом HTTP Connect [например Flash FXP].
2. ftp client который умеет юзать socks-proxy [например cuteftp].
3. ftp клиент который может юзать FTP-Proxy из BM [CuteFTP].

вариантый 1 и 2 позволяют использовать SSO.

вариант 1 самый несекурный.

По сему лучше всего FTP Киент + Socks5 [в режиме SSO].

Re: Доступ к FTP через BM

СообщениеДобавлено: 29 дек 2005, 14:01
Мещеряков Андрей
Dimerson писал(а):Как минимум 3 варианта :

1. ftp клиент который может подключаться методом HTTP Connect [например Flash FXP].
2. ftp client который умеет юзать socks-proxy [например cuteftp].
3. ftp клиент который может юзать FTP-Proxy из BM [CuteFTP].

вариантый 1 и 2 позволяют использовать SSO.

вариант 1 самый несекурный.

По сему лучше всего FTP Киент + Socks5 [в режиме SSO].


Вариант 3 тоже использует SSO...

А что должно быть настроено на сервере ?

СообщениеДобавлено: 03 янв 2006, 12:17
msergeyp
Пробую подключапться по варианту 3
У меня включен FTP-прокси
На закладке Gateway включен IP/IP Gateway и SOCKS V4 и V5, в его настройках включено все Single Sign, None, Clear Text..., NDS User, SSL,
Socks V4.
В Access Rules разрешено, порты 21, 1080 для SOCKS, 8225 для IP/IP Gateway
В качестве клиента использую незарегистрированный CuteFTP 7.1 (его обязательно регистрировать для подключения ?)


STATUS:> Getting listing ""...
STATUS:> Resolving host name 10.3.0.81...
STATUS:> Connecting to socks5 server 10.3.0.81:8225, (ip = 10.3.0.81)...
STATUS:> Connected to socks5 server.
STATUS:> Connecting to FTP server 19.85.201.105:21 (ip = 19.85.201.105)...

Я так понимаю к BM коннектится, а дальше не идет. Прежде всего беспокоит вопрос все ли верно настроено на сервере, что можно отключить.

Re: А что должно быть настроено на сервере ?

СообщениеДобавлено: 03 янв 2006, 19:18
Dimerson
sergeyp писал(а):Пробую подключапться по варианту 3
У меня включен FTP-прокси
На закладке Gateway включен IP/IP Gateway и SOCKS V4 и V5, в его настройках включено все Single Sign, None, Clear Text..., NDS User, SSL,
Socks V4.
В Access Rules разрешено, порты 21, 1080 для SOCKS, 8225 для IP/IP Gateway
В качестве клиента использую незарегистрированный CuteFTP 7.1 (его обязательно регистрировать для подключения ?)


STATUS:> Getting listing ""...
STATUS:> Resolving host name 10.3.0.81...
STATUS:> Connecting to socks5 server 10.3.0.81:8225, (ip = 10.3.0.81)...
STATUS:> Connected to socks5 server.
STATUS:> Connecting to FTP server 19.85.201.105:21 (ip = 19.85.201.105)...

Я так понимаю к BM коннектится, а дальше не идет. Прежде всего беспокоит вопрос все ли верно настроено на сервере, что можно отключить.


Судя по всему socks5 подключилсо.

варианты почему не работает :

1.ACL
2. ФИЛЬТРЫ

можно для проверки и то и то отключить и определить где крутить дальше.

P.S. Порты 1080 для SOCKS, 8225 для IP/IP Gateway ACL-ями никак разрешать не надо !!! с 21 согласен с этими нет . P.S. У ftp вообше-то не 1 порт.

ACL

СообщениеДобавлено: 09 янв 2006, 16:53
msergeyp
Работает при отключенном ACL. Вернее разрешено все для всех.
Кстати IP/IP Gateway можно отключить.

Может кто подскажет что нужно включить в ACL вместо все для всех ?

Re: ACL

СообщениеДобавлено: 09 янв 2006, 20:10
Dimerson
sergeyp писал(а):Работает при отключенном ACL. Вернее разрешено все для всех.
Кстати IP/IP Gateway можно отключить.

Может кто подскажет что нужно включить в ACL вместо все для всех ?



FROM NDS Obect to PORT [or PORT+ADRESS в особопараноидальных случаях]. тип сервиса ip gateway. Крыжик выставить для журнализации. все.

Нет такого сервиса ip gateway (Или не там ищу ?)

СообщениеДобавлено: 10 янв 2006, 15:18
msergeyp
Нет такого сервиса ip gateway (Или не там ищу ?)
При вводе правила выбираю
Action Allow
Access Type Port
В Service пытаюсь отыскать ip gateway - нет.

У меня BM3.7SP3 Либо я не там ищу либо можно просто указать порт (какой ?)

Re: Нет такого сервиса ip gateway (Или не там ищу ?)

СообщениеДобавлено: 10 янв 2006, 16:05
Dimerson
sergeyp писал(а):Нет такого сервиса ip gateway (Или не там ищу ?)
При вводе правила выбираю
Action Allow
Access Type Port
В Service пытаюсь отыскать ip gateway - нет.

У меня BM3.7SP3 Либо я не там ищу либо можно просто указать порт (какой ?)


Уточните вам что надо ? Ограничить доступ к портам или адресам FTP Серверов ?

Правило From NDS user to Any Adress Any Port уже как минимум устаноит restriction по имени NDS Пользователя.

Думаю годится PORT
Serviec Type FTP + Service TYPE FTP DATA

от NDS Пользователя.

Портов 20 и 21 недостаточно

СообщениеДобавлено: 11 янв 2006, 12:31
msergeyp
Что касается того чего надо - надо закрыть все порты, кроме тех которые должны быть открыты для работы FTP - клиента
Портов 20 и 21 недостаточно
Выдается сообщение

ERROR:> Socks server reports: 'Connection not allowed by rule set'.
STATUS:> Waiting 0 seconds...
STATUS:> Getting listing "/"...
COMMAND:> PASV

Если открываю все порты - коннектится
Присутствует строка
STATUS:> Connecting FTP data socket 19.85.201.105:52380
Я так понимаю 52380 - номер порта, беда в том что он постоянно разный

Re: Портов 20 и 21 недостаточно

СообщениеДобавлено: 11 янв 2006, 12:57
Dimerson
sergeyp писал(а):Что касается того чего надо - надо закрыть все порты, кроме тех которые должны быть открыты для работы FTP - клиента
Портов 20 и 21 недостаточно
Выдается сообщение

ERROR:> Socks server reports: 'Connection not allowed by rule set'.
STATUS:> Waiting 0 seconds...
STATUS:> Getting listing "/"...
COMMAND:> PASV

Если открываю все порты - коннектится
Присутствует строка
STATUS:> Connecting FTP data socket 19.85.201.105:52380
Я так понимаю 52380 - номер порта, беда в том что он постоянно разный


Курим про режимы работы ftp

СообщениеДобавлено: 11 янв 2006, 14:05
Савельев Сергей
Добрый день!!!
Разные порты, говоришь
Нужны не только для FTP. но и ...
Я под это дело открыл диапазон портов с 1024-65535 со STATEFUL
и естественно правило соответствующее

СообщениеДобавлено: 11 янв 2006, 14:13
Dimerson
Савельев сергей писал(а):Добрый день!!!
Разные порты, говоришь
Нужны не только для FTP. но и ...
Я под это дело открыл диапазон портов с 1024-65535 со STATEFUL
и естественно правило соответствующее


Ему не Exceptions, ему ACL для SCOSCKS5 из BM.

В обсчем в пассиве - будет строго 20 И 21.