Танин Виктор писал(а):Имею NW6.5SP2, BM3.8
в настройках бордера, FTPproxy настройки по умолчанию; пытаюсь настроить, чтоб ftp был доступен через browser. делал как в доке, настроил фильтр ftp-port-pasv-st.
Если через browser ходить по IP сервера, то всё ОК, но если вводить имя серера, вылетает ошибка, время ожидания истекло. понятно, что дело в DNS, в токе тоже написано, что надо DNS фильтр настраивать. Но после его настройки проблема не исчезла. Делал 2 exeptions: с внешнего интерфейса и между внутренним и внешнем. Итог - не работает. Подскажите, может, где ошибаюсь
Всё просто как мычание... Вам нужен FTP-доступ
только через броузер? Вы используете
только прокси (не НАТ, не роутинг)? Если таки да, тхен бегин:
1) FTP-proxy тут вообще не при делах, всё делает HTTP-proxy.
2) Filter Exeptions можно сильно упростить (дефолтные зело развесистые и мутные), кроме того - надо понимать различие между фильтром на интерфейс (SrcInt = DstInt) и фильтром на форвардинг (это когда SrcInt <> DstInt). Фильтр на форвардинг реально нужен
только для НАТа и прямого роутинга.
Создаём 2 новых фильтра с именами tcp-st и udp-st, в коих пишем: tcp-st -> proto=TCP, SPort=All, DPort=All, ACK bit Filtering=Disabled, Stateful Filetring=Enabled; udp-st -> proto=UDP, SPort=All, DPort=All, Stateful Filetring=Enabled.
Затем удаляем все ехепшены и создаём 2 новых: a) from <Public-Int> to <Public-Int>, type=tcp-st, SrcIP=<Public-IP>, DstIP=Any; b) from <Public-Int> to <Public-Int>, type=udp-st, SrcIP=<Public-IP>, DstIP=Any.
(Заодно можно и запрещающие фильтры почикать, написав туда 3 штюки полностью засекуривающие всё: a) from <All-Int> to <All-Int>, type=All, SrcIP=Any, DstIP=Any; b) from <Public-Int> to <All-Int>, type=All, SrcIP=Any, DstIP=Any; c) from <All-Int> to <Public-Int>, type=All, SrcIP=Any, DstIP=Any)
3) Пишем ACL-ки на все нужные проки-сервисы, не забывая о том, что:
а) DNS резолвингом занимается сам прокси, отсюда - нужно правило, типа Allow, type=Port, Service=DNS, Origin Port=53, Proto=TCP&UDP, Src=<Public-IP>, Dst=Any; б) FTP-over-HTTP ходит через HTTP-proxy, отсюда - добавить правило типа Allow, type=Proxy, Service=HTTP, Origin Port=20-to-21, Proto=TCP, Src=<по вкусу>, Dst=Any (если нужны другие порты - добавляем правила).
енд бегин.
Правила для остальных сервисов настраиваются очень аналогично - правятся только тип доступа, порты, источник и назначение...
ЗЫ - про настройку
самих прокси говорить надо?