помогите разобраться: FTP over HTTP

Обсуждение технических вопросов по продуктам Novell

помогите разобраться: FTP over HTTP

Сообщение Танин Виктор » 19 янв 2005, 07:58

Имею NW6.5SP2, BM3.8
в настройках бордера, FTPproxy настройки по умолчанию; пытаюсь настроить, чтоб ftp был доступен через browser. делал как в доке, настроил фильтр ftp-port-pasv-st.
Если через browser ходить по IP сервера, то всё ОК, но если вводить имя серера, вылетает ошибка, время ожидания истекло. понятно, что дело в DNS, в токе тоже написано, что надо DNS фильтр настраивать. Но после его настройки проблема не исчезла. Делал 2 exeptions: с внешнего интерфейса и между внутренним и внешнем. Итог - не работает. Подскажите, может, где ошибаюсь
Аватара пользователя
Танин Виктор
 
Сообщения: 141
Зарегистрирован: 03 фев 2004, 04:36
Откуда: Владивосток

Re: помогите разобраться: FTP over HTTP

Сообщение Dimerson » 19 янв 2005, 08:53

Танин Виктор писал(а):Имею NW6.5SP2, BM3.8
в настройках бордера, FTPproxy настройки по умолчанию; пытаюсь настроить, чтоб ftp был доступен через browser. делал как в доке, настроил фильтр ftp-port-pasv-st.
Если через browser ходить по IP сервера, то всё ОК, но если вводить имя серера, вылетает ошибка, время ожидания истекло. понятно, что дело в DNS, в токе тоже написано, что надо DNS фильтр настраивать. Но после его настройки проблема не исчезла. Делал 2 exeptions: с внешнего интерфейса и между внутренним и внешнем. Итог - не работает. Подскажите, может, где ошибаюсь


Тут все несложно.
Надо :
1. сделать Exception для DNS [думаю прокси сам резолвит]

From To
Public -> Any Interface
[public ip] -> Any Adress
1024-65535 UDP -> 53 UDP
1024-65535 TCP -> 53 TCP

оба exception stateful

в случае запуска DNS сервера на этом же сервере
еще и 53 UDP ->53 UDP.

2. Access Rule - можно на весь LAN subnet
Port
TCP & UDP
To 53 port
from you LAN Subnet


после этого все должно работать
Аватара пользователя
Dimerson
 
Сообщения: 2798
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: помогите разобраться: FTP over HTTP

Сообщение Танин Виктор » 19 янв 2005, 09:05

Dimerson писал(а):Тут все несложно.
Надо :
1. сделать Exception для DNS [думаю прокси сам резолвит]

From To
Public -> Any Interface
[public ip] -> Any Adress
1024-65535 UDP -> 53 UDP
1024-65535 TCP -> 53 TCP

оба exception stateful


1. From Public to Any Interface есть такой exception
как сделать остальные - что-то не смог
2. заметил такую вещь: если не ставить никаких exception для FTP, Access Rules - пользователю везде можно (Allow All), при этом IP станции сделать статическим (сам указываю), то всё работает, но если IP выдаёт DHCP (как есть на самом деле), то на FTP-сервер доступ только по его IP, по имени нет. :?
3. stateful - enable? в этом смысле
Аватара пользователя
Танин Виктор
 
Сообщения: 141
Зарегистрирован: 03 фев 2004, 04:36
Откуда: Владивосток

Re: помогите разобраться: FTP over HTTP

Сообщение Dimerson » 19 янв 2005, 09:33

Танин Виктор писал(а):
Dimerson писал(а):Тут все несложно.
Надо :
1. сделать Exception для DNS [думаю прокси сам резолвит]

From To
Public -> Any Interface
[public ip] -> Any Adress
1024-65535 UDP -> 53 UDP
1024-65535 TCP -> 53 TCP

оба exception stateful


1. From Public to Any Interface есть такой exception
как сделать остальные - что-то не смог
2. заметил такую вещь: если не ставить никаких exception для FTP, Access Rules - пользователю везде можно (Allow All), при этом IP станции сделать статическим (сам указываю), то всё работает, но если IP выдаёт DHCP (как есть на самом деле), то на FTP-сервер доступ только по его IP, по имени нет. :?
3. stateful - enable? в этом смысле


чтобы работало по имени надо поднимать DDNS/DHCP хотя это так несекурно аж зубы сводит. ACL везде где можно лучше делать по NDS аккаунту с авторизацие через SSO или SSL.

Я написал exception без указания названия built-in фильтра. Имхо dns-tcp-statefull это и есть. В общем в FILTCFG все видно.

Statefull - да.
Аватара пользователя
Dimerson
 
Сообщения: 2798
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: помогите разобраться: FTP over HTTP

Сообщение Alex-M » 19 янв 2005, 14:51

Танин Виктор писал(а):Имею NW6.5SP2, BM3.8
в настройках бордера, FTPproxy настройки по умолчанию; пытаюсь настроить, чтоб ftp был доступен через browser. делал как в доке, настроил фильтр ftp-port-pasv-st.
Если через browser ходить по IP сервера, то всё ОК, но если вводить имя серера, вылетает ошибка, время ожидания истекло. понятно, что дело в DNS, в токе тоже написано, что надо DNS фильтр настраивать. Но после его настройки проблема не исчезла. Делал 2 exeptions: с внешнего интерфейса и между внутренним и внешнем. Итог - не работает. Подскажите, может, где ошибаюсь


Всё просто как мычание... Вам нужен FTP-доступ только через броузер? Вы используете только прокси (не НАТ, не роутинг)? Если таки да, тхен бегин:

1) FTP-proxy тут вообще не при делах, всё делает HTTP-proxy.

2) Filter Exeptions можно сильно упростить (дефолтные зело развесистые и мутные), кроме того - надо понимать различие между фильтром на интерфейс (SrcInt = DstInt) и фильтром на форвардинг (это когда SrcInt <> DstInt). Фильтр на форвардинг реально нужен только для НАТа и прямого роутинга.
Создаём 2 новых фильтра с именами tcp-st и udp-st, в коих пишем: tcp-st -> proto=TCP, SPort=All, DPort=All, ACK bit Filtering=Disabled, Stateful Filetring=Enabled; udp-st -> proto=UDP, SPort=All, DPort=All, Stateful Filetring=Enabled.
Затем удаляем все ехепшены и создаём 2 новых: a) from <Public-Int> to <Public-Int>, type=tcp-st, SrcIP=<Public-IP>, DstIP=Any; b) from <Public-Int> to <Public-Int>, type=udp-st, SrcIP=<Public-IP>, DstIP=Any.
(Заодно можно и запрещающие фильтры почикать, написав туда 3 штюки полностью засекуривающие всё: a) from <All-Int> to <All-Int>, type=All, SrcIP=Any, DstIP=Any; b) from <Public-Int> to <All-Int>, type=All, SrcIP=Any, DstIP=Any; c) from <All-Int> to <Public-Int>, type=All, SrcIP=Any, DstIP=Any)

3) Пишем ACL-ки на все нужные проки-сервисы, не забывая о том, что:
а) DNS резолвингом занимается сам прокси, отсюда - нужно правило, типа Allow, type=Port, Service=DNS, Origin Port=53, Proto=TCP&UDP, Src=<Public-IP>, Dst=Any; б) FTP-over-HTTP ходит через HTTP-proxy, отсюда - добавить правило типа Allow, type=Proxy, Service=HTTP, Origin Port=20-to-21, Proto=TCP, Src=<по вкусу>, Dst=Any (если нужны другие порты - добавляем правила).

енд бегин. :D

Правила для остальных сервисов настраиваются очень аналогично - правятся только тип доступа, порты, источник и назначение...

ЗЫ - про настройку самих прокси говорить надо? ;-)
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Lab » 19 янв 2005, 19:53

Alex, не сочтите за комплимент, но Вы просто гуру ))) Дахака, я бы сказал.. :)
Не думаете об издании вашей версии Корана ? (proxy.cfg сослужил , думаю, не только мне, хорошую службу)

ПС Коран, в контексте, статья Е. Соколова про фильтры в BM :)

Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Lab » 19 янв 2005, 19:53

ЗЫ - про настройку самих прокси говорить надо?

Надо
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Alex-M » 19 янв 2005, 21:31

Шамиль Лабазанов писал(а):Alex, не сочтите за комплимент, но Вы просто гуру ))) Дахака, я бы сказал.. :)
Не думаете об издании вашей версии Корана ? (proxy.cfg сослужил , думаю, не только мне, хорошую службу)
ПС Коран, в контексте, статья Е. Соколова про фильтры в BM :)

Да лана, будет Вам превозносить... :D Просто давно с Бордюром воюю, лет эдак 6 уже... А у Жени на самом деле хорошая статья, устарела только.
А чего ж - можно и издать, только в каком виде? ФАК? Статья?

Что именно про настройки прокси рассказывать? И каких именно прокси? Или самой Нетвари под БМ тоже? ;-)

ЗЫ - имеется в продаже, тьфу - в свободном доступе свежеправленный вариант последнего Крэйговского конфига. Для 3.8. Адаптированный к Российской действительности... :-)
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Re: помогите разобраться: FTP over HTTP

Сообщение Танин Виктор » 20 янв 2005, 08:15

Alex-M писал(а):Вам нужен FTP-доступ только через броузер?


не только броузер, ещё и через FAR/WinComander ходят

в этом случае что надо настроить?
Аватара пользователя
Танин Виктор
 
Сообщения: 141
Зарегистрирован: 03 фев 2004, 04:36
Откуда: Владивосток

Re: помогите разобраться: FTP over HTTP

Сообщение Dimerson » 20 янв 2005, 08:17

2 Exception имени тов. Соколова это хорошо ...

Но увы пока 2 года ipflt31.nlm был в разрухе :((((
Пришлось от них отказаться [от stateful] совсем.
Аватара пользователя
Dimerson
 
Сообщения: 2798
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: помогите разобраться: FTP over HTTP

Сообщение Танин Виктор » 20 янв 2005, 10:27

Alex-M писал(а):
б) FTP-over-HTTP ходит через HTTP-proxy, отсюда - добавить правило типа Allow, type=Proxy, Service=HTTP, Origin Port=20-to-21, Proto=TCP, Src=<по вкусу>, Dst=Any (если нужны другие порты - добавляем правила).



что-то насторожило, когда делал ACL:
Allow, type=Application Proxy, Service=HTTP, Origin Port=20-to-21, Proto=нет..., Src=<по вкусу>, Dst=Any

всё равно не идёт по имени :roll:
ведь сделал, не понимаю....
Аватара пользователя
Танин Виктор
 
Сообщения: 141
Зарегистрирован: 03 фев 2004, 04:36
Откуда: Владивосток

Re: помогите разобраться: FTP over HTTP

Сообщение Владимир Горяев » 20 янв 2005, 13:01

Танин Виктор писал(а):
Alex-M писал(а):Вам нужен FTP-доступ только через броузер?


не только броузер, ещё и через FAR/WinComander ходят

в этом случае что надо настроить?
Соответственно настроить их на работу через HHTP-Proxy. В фаре есть плагин счас называется FAR Navigator, в WC тоже прозрачно. Но работать будет только в пассивной моде.
Танин Виктор писал(а): всё равно не идёт по имени
ведь сделал, не понимаю....
Включи DNS-Proxy на BM, укажи ему адреса DNS(в inetcfg напр.), можно и клиенту в кач-ве DNS указать адрес бордюра.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: помогите разобраться: FTP over HTTP

Сообщение Alex-M » 20 янв 2005, 16:06

[quote="Танин Виктор]
что-то насторожило, когда делал ACL:
Allow, type=Application Proxy, Service=HTTP, Origin Port=20-to-21, Proto=нет..., Src=<по вкусу>, Dst=Any
всё равно не идёт по имени :roll:
ведь сделал, не понимаю....[/quote]

А что именно насторожило? А, ну да - проглючило с протоколом, скопировал блок из абзаца про Type=Port... :-)
Allow, type=Application Proxy, Service=HTTP, Origin Port=20-to-21, Src=<по вкусу>, Dst=Any
В такой именно конфигурации всё пашет уже 4 года без единой проблемы.
Как на сервере настроен DNS-резолвинг? Содержимое resolv.cfg можно увидеть? Если есть 2 ДНСника (внутренний и внешний) - крайне желатьно внешний поставить первым...
Не забудьте в настройках броузера указать для FTP-proxy фдрес и порт тот же, что и для HTTP-proxy.
Если нужен доступ через ФАР и режима FTP-over-HTTP достаточно - ничего более настраивать не нужно, просто указать ФАРу нужный режим и параметры, не забывая про пассивный доступ (кстати, это же надо указать и в настройках Експлорера).
Если нужен доступ по чистому FTP - велкам ту настройка FTP-proxy. Рассказывать надо? :-)

Владимир Горяев
Включи DNS-Proxy на BM, укажи ему адреса DNS(в inetcfg напр.), можно и клиенту в кач-ве DNS указать адрес бордюра.

DNS-proxy тут ещё более не при делах... ;-) Он нужен только как кэширующий ДНС-сервер при отсутствии своего ДНСника. Все исходящие HTTP-запросы резолвит прокся.

Dimerson
ipflt31 - таки да, глючил иногда. Подчёркиваю - иногда, в некоторых версиях. Дык - не ставьте глючный, про это неоднократно писальось у Крэйга... Кроме того, Stateful зело повышают секурность. :-) Ещё раз - сейчас всё работает нормально.

ЗЫ - вообще, раз такие проблемы - надо для начала проверить с консоли сервера пингуемость и разрешаемость удалённого сервера по имени (для начала можно без фильтров)...
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Re: помогите разобраться: FTP over HTTP

Сообщение Владимир Горяев » 20 янв 2005, 17:40

Alex-M писал(а):DNS-proxy тут ещё более не при делах... ;-) Он нужен только как кэширующий ДНС-сервер при отсутствии своего ДНСника. Все исходящие HTTP-запросы резолвит прокся.
Верно. Ето я уж до кучи. Проблемы явно с resolv.cfg или своим DNS-сервером..
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: помогите разобраться: FTP over HTTP

Сообщение Танин Виктор » 21 янв 2005, 07:44

Alex-M писал(а):Как на сервере настроен DNS-резолвинг? Содержимое resolv.cfg можно увидеть? Если есть 2 ДНСника (внутренний и внешний) - крайне желатьно внешний поставить первым...
Не забудьте в настройках броузера указать для FTP-proxy фдрес и порт тот же, что и для HTTP-proxy.
Если нужен доступ через ФАР и режима FTP-over-HTTP достаточно - ничего более настраивать не нужно, просто указать ФАРу нужный режим и параметры, не забывая про пассивный доступ (кстати, это же надо указать и в настройках Експлорера).
Если нужен доступ по чистому FTP - велкам ту настройка FTP-proxy. Рассказывать надо? :-)


resolf.cfg:

domain fesaem.vtc.ru
nameserver 212.16.215.103 - тут мой DNS
nameserver 212.16.193.34
nameserver 212.122.1.2
nameserver 62.76.7.25

В Explorer'e пассивный режим - где настраивать???

FTP-proxy поднят, через него работают, только вот настройки соединения немного пугают:
ftp://user$ip_server@ip_proxy_int

user_name: user$ip_server

а попроще можно сделать???

ЗЫ - вообще, раз такие проблемы - надо для начала проверить с консоли сервера пингуемость и разрешаемость удалённого сервера по имени (для начала можно без фильтров)...


пингую удалённые сервера с раб. станции из внутр. сети (ftp.microsoft.com, к примеру), имя разрешается, IP получаю
Аватара пользователя
Танин Виктор
 
Сообщения: 141
Зарегистрирован: 03 фев 2004, 04:36
Откуда: Владивосток

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

cron