[sherwood]

В одной сети имеем FTP сервер на Gene6 FTP Server вход клиентов осуществляется по анонимной учетной записи, то есть без логина и пароля, на сетевой карте сервера прописано два IP 192.168.54.200/24 и 10.17.9.200/24 пару дней в логах сервера стал замечать:

 

11/12/30 02:02:24, 151, 192.168.5.5, , 220 Gene6 FTP Server v3.10.0 (Build 2) ready...

11/12/30 02:02:25, 151, 192.168.5.5, , USER anonymous

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 331 Password required for anonymous.

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, PASS ****

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, logged in as "Anonymous".

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 230 User anonymous logged in.

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, CLNT FileZilla

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 200 Noted.

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, OPTS UTF8 ON

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 200 UTF8 OPTS ON

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, CWD /Video/Films/Russian films/Otstavnik

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, change directory '/Video/Films/Russian films/Otstavnik' -> 'merge://d:\FTP DATA\Video\Films\Russian films\Otstavnik,e:\Video\Films\Russian films\Otstavnik,f:\Video\Films\Russian films\Otstavnik' --> Access allowed.

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 250 CWD command successful. "/Video/Films/Russian films/Otstavnik" is current directory.

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, PWD

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 257 "/Video/Films/Russian films/Otstavnik" is current directory.

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, TYPE I

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 200 Type set to I.

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, PASV

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, 227 Entering Passive Mode (192,168,54,200,63,50)

11/12/30 02:02:25, 151, 192.168.5.5, anonymous, RETR otstavnik.2011.DivX.SATRip.avi

после чего добавили этот IP в бан и получили это:

 

11/12/30 04:49:05, 162, 192.168.5.5, , new connection from 192.168.5.5 on 192.168.54.200:21

11/12/30 04:49:09, 162, 192.168.5.5, , sending welcome message.

11/12/30 04:49:09, 162, 192.168.5.5, , 220 Gene6 FTP Server v3.10.0 (Build 2) ready...

11/12/30 04:49:09, 162, 192.168.5.5, , USER anonymous

11/12/30 04:49:09, 162, 192.168.5.5, anonymous, 331 Password required for anonymous.

11/12/30 04:49:09, 162, 192.168.5.5, anonymous, PASS ****

11/12/30 04:49:09, 162, 192.168.5.5, anonymous, login failed.

11/12/30 04:49:12, 162, 192.168.5.5, anonymous, 530 Not logged in, access denied.

11/12/30 04:49:12, 162, 192.168.5.5, anonymous, will be disconnected : IP is banned.

понятно что IP стал блокироваться, не понятно как IP 192.168.5.5 смог приконектится к 192.168.54.200/24 даже если он себе поставил маску 21 и ниже, сервер то имеет 24.

[Hawk128]

Очевидно через маршрутизатор.

[sherwood]

Очевидно через маршрутизатор.

то есть вы хотите сказать плохо отработал NAT? и в логах сервера появилась эта запись, но если у пакета который пришел с маршрутизатора IP 192.168.5.5 то как сервер смог отправить ему пакет, то есть пакет то придти может если клиент у себя поставит маску 21, но вот сервер то куда будет отправлять?

[Hawk128]

Нет. Я имел ввиду, что есть шлюз, а не НАТ, через который эти сетки маршрутизируются и видят друг друга.

[sherwood]

что есть шлюз, а не НАТ, через который эти сетки маршрутизируются и видят друг друга.

понял, спасибо, как то сразу не уловил, что кто то в сети поставил шлюз на котором смаршрутизировал обе сети. сеть маленькая на мыльницах, не где блокировать все лишнее. значит заблокируем все лишние сети на самом сервере.

[Hawk128]

По идее Ваш сервер должен тоже знать маршрут в эту сеть. Попробуйте трейсроут сделать и посмотреть куда оно пойдет.

Конечно может и НАТ быть, как частный случай роутинга.

Изменено 2 января, 2012 пользователем Hawk128