Доступ к FTP через BM

**msergeyp** » 28 дек 2005, 18:48

Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?

sergeyp писал(а):Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?

А откуда уверенность, что права вам не режет сам ftp сервер? Что-то не припомню такого...

**Владимир Горяев** » 29 дек 2005, 10:26

Такое может быть если на ftp заход идет через http-прокси, клиент в таком режиме работает только в пассивном режиме.

**Dimerson** » 29 дек 2005, 10:30

sergeyp писал(а):Установлены Netware 5.1 SP7 и Border Manager 3.7 SP3
При использовании FTP прокси доступ к FTP-серверу в Инет осуществляется в режиме - только чтение.
Есть ли какие-нибудь варианты для получения полного доступа через BM (не хочется включать маршрутизацию) ?

Как минимум 3 варианта :

1. ftp клиент который может подключаться методом HTTP Connect [например Flash FXP].
2. ftp client который умеет юзать socks-proxy [например cuteftp].
3. ftp клиент который может юзать FTP-Proxy из BM [CuteFTP].

вариантый 1 и 2 позволяют использовать SSO.

вариант 1 самый несекурный.

По сему лучше всего FTP Киент + Socks5 [в режиме SSO].

Dimerson писал(а):Как минимум 3 варианта :

1. ftp клиент который может подключаться методом HTTP Connect [например Flash FXP].
2. ftp client который умеет юзать socks-proxy [например cuteftp].
3. ftp клиент который может юзать FTP-Proxy из BM [CuteFTP].

вариантый 1 и 2 позволяют использовать SSO.

вариант 1 самый несекурный.

По сему лучше всего FTP Киент + Socks5 [в режиме SSO].

Вариант 3 тоже использует SSO...

**msergeyp** » 03 янв 2006, 12:17

Пробую подключапться по варианту 3
У меня включен FTP-прокси
На закладке Gateway включен IP/IP Gateway и SOCKS V4 и V5, в его настройках включено все Single Sign, None, Clear Text..., NDS User, SSL,
Socks V4.
В Access Rules разрешено, порты 21, 1080 для SOCKS, 8225 для IP/IP Gateway
В качестве клиента использую незарегистрированный CuteFTP 7.1 (его обязательно регистрировать для подключения ?)

STATUS:> Getting listing ""...
STATUS:> Resolving host name 10.3.0.81...
STATUS:> Connecting to socks5 server 10.3.0.81:8225, (ip = 10.3.0.81)...
STATUS:> Connected to socks5 server.
STATUS:> Connecting to FTP server 19.85.201.105:21 (ip = 19.85.201.105)...

Я так понимаю к BM коннектится, а дальше не идет. Прежде всего беспокоит вопрос все ли верно настроено на сервере, что можно отключить.

**Dimerson** » 03 янв 2006, 19:18

sergeyp писал(а):Пробую подключапться по варианту 3
У меня включен FTP-прокси
На закладке Gateway включен IP/IP Gateway и SOCKS V4 и V5, в его настройках включено все Single Sign, None, Clear Text..., NDS User, SSL,
Socks V4.
В Access Rules разрешено, порты 21, 1080 для SOCKS, 8225 для IP/IP Gateway
В качестве клиента использую незарегистрированный CuteFTP 7.1 (его обязательно регистрировать для подключения ?)

STATUS:> Getting listing ""...
STATUS:> Resolving host name 10.3.0.81...
STATUS:> Connecting to socks5 server 10.3.0.81:8225, (ip = 10.3.0.81)...
STATUS:> Connected to socks5 server.
STATUS:> Connecting to FTP server 19.85.201.105:21 (ip = 19.85.201.105)...

Я так понимаю к BM коннектится, а дальше не идет. Прежде всего беспокоит вопрос все ли верно настроено на сервере, что можно отключить.

Судя по всему socks5 подключилсо.

варианты почему не работает :

1.ACL
2. ФИЛЬТРЫ

можно для проверки и то и то отключить и определить где крутить дальше.

P.S. Порты 1080 для SOCKS, 8225 для IP/IP Gateway ACL-ями никак разрешать не надо !!! с 21 согласен с этими нет . P.S. У ftp вообше-то не 1 порт.

**msergeyp** » 09 янв 2006, 16:53

Работает при отключенном ACL. Вернее разрешено все для всех.
Кстати IP/IP Gateway можно отключить.

Может кто подскажет что нужно включить в ACL вместо все для всех ?

**Dimerson** » 09 янв 2006, 20:10

sergeyp писал(а):Работает при отключенном ACL. Вернее разрешено все для всех.
Кстати IP/IP Gateway можно отключить.

Может кто подскажет что нужно включить в ACL вместо все для всех ?

FROM NDS Obect to PORT [or PORT+ADRESS в особопараноидальных случаях]. тип сервиса ip gateway. Крыжик выставить для журнализации. все.

**msergeyp** » 10 янв 2006, 15:18

Нет такого сервиса ip gateway (Или не там ищу ?)
При вводе правила выбираю
Action Allow
Access Type Port
В Service пытаюсь отыскать ip gateway - нет.

У меня BM3.7SP3 Либо я не там ищу либо можно просто указать порт (какой ?)

**Dimerson** » 10 янв 2006, 16:05

sergeyp писал(а):Нет такого сервиса ip gateway (Или не там ищу ?)
При вводе правила выбираю
Action Allow
Access Type Port
В Service пытаюсь отыскать ip gateway - нет.

У меня BM3.7SP3 Либо я не там ищу либо можно просто указать порт (какой ?)

Уточните вам что надо ? Ограничить доступ к портам или адресам FTP Серверов ?

Правило From NDS user to Any Adress Any Port уже как минимум устаноит restriction по имени NDS Пользователя.

Думаю годится PORT
Serviec Type FTP + Service TYPE FTP DATA

от NDS Пользователя.

**msergeyp** » 11 янв 2006, 12:31

Что касается того чего надо - надо закрыть все порты, кроме тех которые должны быть открыты для работы FTP - клиента
Портов 20 и 21 недостаточно
Выдается сообщение

ERROR:> Socks server reports: 'Connection not allowed by rule set'.
STATUS:> Waiting 0 seconds...
STATUS:> Getting listing "/"...
COMMAND:> PASV

Если открываю все порты - коннектится
Присутствует строка
STATUS:> Connecting FTP data socket 19.85.201.105:52380
Я так понимаю 52380 - номер порта, беда в том что он постоянно разный

**Dimerson** » 11 янв 2006, 12:57

sergeyp писал(а):Что касается того чего надо - надо закрыть все порты, кроме тех которые должны быть открыты для работы FTP - клиента
Портов 20 и 21 недостаточно
Выдается сообщение

ERROR:> Socks server reports: 'Connection not allowed by rule set'.
STATUS:> Waiting 0 seconds...
STATUS:> Getting listing "/"...
COMMAND:> PASV

Если открываю все порты - коннектится
Присутствует строка
STATUS:> Connecting FTP data socket 19.85.201.105:52380
Я так понимаю 52380 - номер порта, беда в том что он постоянно разный

Курим про режимы работы ftp

**Савельев Сергей** » 11 янв 2006, 14:05

Добрый день!!!
Разные порты, говоришь
Нужны не только для FTP. но и ...
Я под это дело открыл диапазон портов с 1024-65535 со STATEFUL
и естественно правило соответствующее

**Dimerson** » 11 янв 2006, 14:13

Савельев сергей писал(а):Добрый день!!!
Разные порты, говоришь
Нужны не только для FTP. но и ...
Я под это дело открыл диапазон портов с 1024-65535 со STATEFUL
и естественно правило соответствующее

Ему не Exceptions, ему ACL для SCOSCKS5 из BM.

В обсчем в пассиве - будет строго 20 И 21.

Доступ к FTP через BM

Доступ к FTP через BM

Re: Доступ к FTP через BM

Re: Доступ к FTP через BM

Re: Доступ к FTP через BM

А что должно быть настроено на сервере ?

Re: А что должно быть настроено на сервере ?

ACL

Re: ACL

Нет такого сервиса ip gateway (Или не там ищу ?)

Re: Нет такого сервиса ip gateway (Или не там ищу ?)

Портов 20 и 21 недостаточно

Re: Портов 20 и 21 недостаточно

Кто сейчас на конференции