porozut Опубликовано 12 декабря, 2013 (изменено) · Жалоба Просмотр сообщенияSSD (Вчера, 13:01) писал: Просмотр сообщенияporozut (Вчера, 11:39) писал: Народ всем доброго времени суток . Собственно есть МТ на нем DHCP + Nat (сеть офиса всего 15машин) ,понадобился FTP сервак поднял я его на SynoLogy DiskStation у него адрес в локалке 192,168,0,16 начинаю пробрасывать порты 21Ftp ,20 авторизация на Ftp , + пулл портов 55530-55665 для передачи данных по резервному каналу протокола, порт21 проброшен и работает Прикрепленный файл для Антона НАГ3.jpg ,а вот остальные порты 20,55530-55665 не открываются . Куда копать не пойму подскажите плз? Ftp МТ выключил , на адресс FTP сервера разрешил проход всего из внешки . Надо добавить правило с указанием серого адреса, пробрасываемого порта, и протокола. Цитата ip firewall filter add chain=forward dst-address= dst-port= protocol= Это так же сделано - сори что не указал сразу .Даю скрины Ната и правил : Изменено 12 декабря, 2013 пользователем porozut Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 12 декабря, 2013 · Жалоба Походу закончились гуру по Микротику =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 12 декабря, 2013 · Жалоба Походу закончились гуру по Микротику =( Вместо netmap dst-nat используйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 12 декабря, 2013 · Жалоба Походу закончились гуру по Микротику =( Вместо netmap dst-nat используйте. Перерыл весь инет всё одно и тоже =( Пробовал все вариации как netmap так и dst-nat ,но так по внешнему адресу не пускает на FTP =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 декабря, 2013 · Жалоба /ip firewall nat add action=masquerade chain=srcnat add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290 Вот так сделайте, перенаправив все порты на адрес FTP сервера, если не заработает, то дело не в микротике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 12 декабря, 2013 · Жалоба /ip firewall nat add action=masquerade chain=srcnat add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290 Вот так сделайте, перенаправив все порты на адрес FTP сервера, если не заработает, то дело не в микротике. Предложения ? а порт 55536 используется FTP сервером по умолчанию и 100% на FTP влючен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 12 декабря, 2013 · Жалоба а не че, что правила перенаправления на порты нужно выше маскарада поднять? add action=dst-nat chain=dstnat dst-address=внешний адрес dst-port=3389 protocol=tcp to-addresses=192.168.88.1 to-ports=3389 100 пудово рабочее правило Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 12 декабря, 2013 (изменено) · Жалоба а не че, что правила перенаправления на порты нужно выше маскарада поднять? add action=dst-nat chain=dstnat dst-address=внешний адрес dst-port=3389 protocol=tcp to-addresses=192.168.88.1 to-ports=3389 100 пудово рабочее правило 0 эмоций . При этом с локалки зайти нет проблем соответственно глюк со стороны МТ . Изменено 12 декабря, 2013 пользователем porozut Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 декабря, 2013 · Жалоба а не че, что правила перенаправления на порты нужно выше маскарада поднять? Это с чего это выше? 0 эмоций . При этом с локалки зайти нет проблем соответственно глюк со стороны МТ . Правило под номером 1 нужно удалить, а под номером 0 стереть выходной интерфейс. Если используется маркировка маршрутов роутер и так все знает и 2 аналогичных правила лишние. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 12 декабря, 2013 · Жалоба а не че, что правила перенаправления на порты нужно выше маскарада поднять? Это с чего это выше? 0 эмоций . При этом с локалки зайти нет проблем соответственно глюк со стороны МТ . Правило под номером 1 нужно удалить, а под номером 0 стереть выходной интерфейс. Если используется маркировка маршрутов роутер и так все знает и 2 аналогичных правила лишние. Сделал ,но проблема так и не ушла =( ,21порт открыт и извне он проходит ,но для Ftp одного 21порта мало ,нужно еще 20порт и пулл портов для пассивки (пулл на скрине есть) ,и не один порт из пулла не проходит ?=( Вот как то так =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 12 декабря, 2013 · Жалоба Дабы не сомневаться в FTP серваке ,поставил на комп Gene6 FTP Server перенаправил маршруты на адресс этого сервака и ничего не поменялось ! Комрады выручайте . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 13 декабря, 2013 · Жалоба Народ может геморрой в том что на МТ подняты 2прова ? и только один имеет белый IP и стоит приоритетом ,а второй в резерве. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 13 декабря, 2013 · Жалоба Народ может геморрой в том что на МТ подняты 2прова ? и только один имеет белый IP и стоит приоритетом ,а второй в резерве. Можно легко узнать отключив не нужный интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 13 декабря, 2013 · Жалоба Народ может геморрой в том что на МТ подняты 2прова ? и только один имеет белый IP и стоит приоритетом ,а второй в резерве. Можно легко узнать отключив не нужный интерфейс. К сожалению не помогло =( перепробовал все варианты ,перерыл весь гуглиш хрен чего . Сижу и в курить не могу - я создаю правило на проброс портов( не только системных,но и кривых 4000-65535) ,но порт так и остается закрытый =( готов дать доступ и расплатиться водой -соками или кому как по вкусу впал в ступор =((((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sheft Опубликовано 14 декабря, 2013 (изменено) · Жалоба Gene6 FTP тогда нужно два правила, sourcenat и dst-nat add chain=srcnat src-address=192.168.0.16 action=src-nat to-addresses=внешнийIP add chain=dstnat dst-address=внешнийIP action=dst-nat to-addresses=192.168.0.16 и расположить их над маскарадом кстати, в фильтрах фаервола входящие на эти порты случаем не в дропе? если заработает так, то потом можно слепить четыре правила, с указанием конкретных портов 20-21 и 55530-55665 по два правила в src-nat и два правила в dst-nat Изменено 14 декабря, 2013 пользователем sheft Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
porozut Опубликовано 14 декабря, 2013 · Жалоба Gene6 FTP тогда нужно два правила, sourcenat и dst-nat add chain=srcnat src-address=192.168.0.16 action=src-nat to-addresses=внешнийIP add chain=dstnat dst-address=внешнийIP action=dst-nat to-addresses=192.168.0.16 и расположить их над маскарадом кстати, в фильтрах фаервола входящие на эти порты случаем не в дропе? если заработает так, то потом можно слепить четыре правила, с указанием конкретных портов 20-21 и 55530-55665 по два правила в src-nat и два правила в dst-nat Разобрался сделал примерно так как вы написали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...