+ Responder ao Tópico



  1. #1

    Padrão Acessar Ftp atrás de PCC

    Bom dia Amigos,
    Estou com um servidor FTP atrás de um LOAD PCC com 4 LINKS, consigo acesso desse FTP através de redirecionamentos, só que a listagem de arquivos não ocorre... a página expira e nada acontece. Aguardo respostas, Obrigado.

  2. #2

    Padrão

    Bem.. teria q analizar.. o bom seria com o tcpdump ou
    wireshark para ver o que acontece na real.. sem isso
    quase impossivel de descobrir a num ser q alguem ja
    tenha passado por issu e sabe de cabeça.. =D
    Chute: modulos do ftp?? modprobe ....



  3. #3

    Padrão

    Então, creio eu que não seja nada NO FTP, tanto é que local, eu acesso a listagem de arquivos normalmente.
    Só externamente nao consigo acesso a lista de arquivos, o ip pinga normal, e solicita login e senha..

  4. #4

    Padrão

    Bem nunca analisei o codigo do FTP..
    Mais talvez tenha que mudar o endereço
    de origem com iptables: SNAT...



  5. #5

    Padrão

    então, é mais provavel que o problema esteja nos redirecionamentos do loadbalance..
    alguem já teve o mesmo problema ?

  6. #6

    Padrão

    O seu FTP está com ip público atrás do LB PCC?



  7. #7

    Padrão

    Na realidade, no load, eu tenho 4 ADSLS, e 1 delas tem ip fixo.
    A topologia está assim aqui..
    LB PCC > MK PPOE > CLIENTES
    .........................> FTP

    Eu redirecionei a porta 21, do ip fixo, para o mk pppoe, e do mk pppoe, redirecionei para o ftp... E acontece o que eu disse, ele autentica, mas não puxa a lista de arquivos, coisa que local funciona normal..

  8. #8

    Padrão

    bem.. esta ae a questão.. o FTP usa a porta 20 para dados.. :P
    falta vc liberar ela tambem.. eu tinha me esquecido desse detalhe =)
    se vc der uma olhada em :

    http://www.iana.org/assignments/port-numbers

    vai ver que tem a porta 20:
    ftp-data 20/tcp File Transfer [Default Data]
    e a porta 21:
    ftp 21/tcp File Transfer [Control]

    de nda =)
    []`s



  9. #9

    Padrão

    Boa noite amigo,
    testei liberando a porta 20, e ocorreu-me a mesma situação.. Segue abaixo o resultado que obtive (igualmente o mesmo antes de liberar a porta 20) :

    Estado: Ligado
    Estado: A obter a lista de pastas ...
    Comando: PWD
    Resposta: 257 "/" is the current directory
    Comando: TYPE I
    Resposta: 200 Type set to I
    Comando: PASV
    Resposta: 227 Entering Passive Mode (172,15,254,2,222,151).
    Comando: MLSD
    Erro: A conexão excedeu o tempo de espera
    Erro: Falhou a obtenção da lista de pastas


    Ps; Programa utilizado, Filezilla.

    Obrigado pela ajuda...

    Regras loadbalance Firewall:

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO WINBOX PPPOE" disabled=no dst-port=8292 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    179.20.1.2 to-ports=8291
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO WEB 80 CONADMIN" disabled=no dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    179.20.1.2 to-ports=8023
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO SSH 22 CONADMIN" disabled=no dst-port=22 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    179.20.1.2 to-ports=224
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO FTP 21 CONADMIN" disabled=no dst-port=20-21 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    179.20.1.2 to-ports=20-21
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO FTP 21 CONADMIN" disabled=no dst-port=20-21 in-interface=pppoe-out1 protocol=udp to-addresses=\
    179.20.1.2 to-ports=20-21
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO 3306 CONADMIN" disabled=no dst-port=3306 in-interface=pppoe-out1 protocol=tcp to-addresses=\
    179.20.1.2 to-ports=3307
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO SSH 222 LINUX" disabled=no dst-port=222 protocol=tcp to-addresses=179.20.1.2 to-ports=223
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO WEB 80 LINUX" disabled=no dst-port=8002 protocol=tcp to-addresses=179.20.1.2 to-ports=8088
    add action=masquerade chain=srcnat comment=MASCARAMENTO disabled=no out-interface=pppoe-out1
    add action=masquerade chain=srcnat comment="" disabled=no out-interface=pppoe-out2
    add action=masquerade chain=srcnat comment="" disabled=no out-interface=pppoe-out3
    add action=masquerade chain=srcnat comment="" disabled=no out-interface=pppoe-out4
    add action=masquerade chain=srcnat comment="NAT GERAL" disabled=no



    Regras PPPOE SERVER FIREWALL:

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="REDIRECIONA ACESSO WEB EXTERNO - FREEBSD" disabled=no dst-port=8023 in-interface=EthLink protocol=tcp to-addresses=\
    172.15.254.2 to-ports=80
    add action=dst-nat chain=dstnat comment="REDIRECIONA ACESSO SSH EXTERNO - FREEBSD" disabled=no dst-port=224 in-interface=EthLink protocol=tcp to-addresses=\
    172.15.254.2 to-ports=22
    add action=dst-nat chain=dstnat comment="REDIRECIONA PORTA 21 EXTERNO - FREEBSD" disabled=no dst-port=20-21 in-interface=EthLink protocol=tcp to-addresses=\
    172.15.254.2 to-ports=20-21
    add action=dst-nat chain=dstnat comment="REDIRECIONA PORTA 21 EXTERNO - FREEBSD" disabled=no dst-port=20-21 in-interface=EthLink protocol=udp to-addresses=\
    172.15.254.2 to-ports=20-21
    add action=dst-nat chain=dstnat comment="REDIRECIONA PORTA 3306 EXTERNO - FREEBSD" disabled=no dst-port=3307 in-interface=EthLink protocol=tcp to-addresses=\
    172.15.254.2 to-ports=3306
    add action=dst-nat chain=dstnat comment="REDIRECIONA ACESSO SSH EXTERNO - LINUX" disabled=no dst-port=223 in-interface=EthLink protocol=tcp to-addresses=\
    10.21.0.2 to-ports=22
    add action=dst-nat chain=dstnat comment="ACESSO SERVER CACHE - 80" disabled=no dst-port=8088 in-interface=EthLink protocol=tcp to-addresses=10.21.0.2 \
    to-ports=80
    add action=masquerade chain=srcnat comment="MASQUERADE CONADMIN" disabled=no src-address-list=conadmin
    add action=accept chain=dstnat comment=REGRAS_CACHE_NEW disabled=no dst-address=10.21.0.2 dst-port=80 protocol=tcp src-address=10.21.0.2
    add action=masquerade chain=srcnat comment="MASQUERADE THUNDER_CACHE" disabled=no src-address=10.21.0.2
    add action=dst-nat chain=dstnat comment=REDIRECIONA_CACHE disabled=no dst-address=!10.21.0.2 dst-port=80 protocol=tcp src-address-list=rede_clientes \
    to-addresses=10.21.0.2 to-ports=3190
    add action=masquerade chain=srcnat comment=NAT-GERAL disabled=no out-interface=EthLink src-address-list=rede_clientes
    Última edição por CLOVISTAMIOZZO; 11-04-2010 às 10:16.

  10. #10

    Padrão

    Libera esses modulos aqui tbm:

    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_REJECT
    modprobe ipt_state
    modprobe ipt_multiport
    modprobe iptable_mangle
    modprobe ipt_tos
    modprobe ipt_limit
    modprobe ipt_mark
    modprobe ipt_MARK

    Agora se num funcionar não sei mais.. :P



  11. #11

    Padrão

    Bom, é como eu falei, LOCAL ele roda, significa que o problema nao está no ftp, e sim no redirecionamento, alguma idéia ?

  12. #12

    Padrão

    Tento carrega os modulos que falei??
    Tem que carrega-los em todos os routers..
    Si nao nao vai funcionar mesmo!



  13. #13

    Padrão

    Para resolver o problema:
    1 - nas regras do firewall..mangle , adicionar a opcao connection-state=new em todas as regras onde action=mark-connection
    2 - trocar a politica de balanceamento pcc para both-address

    Se isso nao resolver, criar uma regra de mangle mais ou menos assim:
    /ip firewall mangle add action=accept chain=prerouting comment="Servidor FTP pela rota principal" disabled=no \
    in-interface=ether1 src-address=192.168.10.1
    Obs: Nesta regra suponho que ether1 é sua interface local e 192.168.10.1 é o ip interno do servidor FTP. Colocar essa regra acima das regras do balanceamento PCC.