ysc_kyy
2007-11-08, 08:44 PM
幾個月前換了無線IP分享器MN-ZWL-54VR ,一開始使用就已經有掛上web server(監視錄影機),從遠端連線監視很順利,也能從遠端登入分享器管理頁面所以認為NAT虛擬主機對應應該是OK的。
可是這幾天試著組一台FreeNAS,IP固定設為192.168.1.5,也在分享器裡虛擬主機設定頁面將FTP(PORT 21)指向192.168.1.5,在區網之下用FileZilla以192.168.1.5可以順利連線成功,可見FreeNAS系統沒問題,可是從遠端以ADSL所配發的固一IP連線卻連不上,是第一階段就找不到伺服器了,同一時間PORT 80的DVR遠端連線還是沒問題!更詭異的是以VPN撥入讓遠端形成一個區網,再以192.168.1.5連線FTP又是沒問題!也曾經將所有虛擬主機設定清除,乾脆將DMZ設給FTP SERVER,結果情況依舊遠端還是沒反應.........
FTP連線軟體FileZilla連線模式passive或active都試過還是一樣連不上。
反覆設定了好久情況還是無解,請教大家在分享器之下架FTP伺服器還有哪些沒考慮到的?,謝謝。
贊助商連結
workduck
2007-11-08, 10:19 PM
乾脆將DMZ設給FTP SERVER,結果情況依舊遠端還是沒反應.........
做到這一步,還是連不上 就真的很神奇了。
防火牆嗎?
linux_xp
2007-11-08, 11:40 PM
FTP 運作的時候,不只一個 port 喔:
http://linux.vbird.org/linux_server/0410vsftpd.php#theory_port
如果只是 NAT 的 port轉換,那只要開 TCP 20,21 給 FTP server 即可
但防火牆的話,就難設了,因為 port 沒有固定
FTP server 出去要開放 TCP 20,21
外部 to FTP server,則要開放 1024 以上,幾乎是全開
這邊有一個重點:「埠轉換」不等於「防火牆」
如果用 iptables 的觀念來解釋
它們分別隸屬於 nat 鏈 和 filter 鏈,是不同的管轄範圍
在 Linux 的作法,是用 sell script 去動態追蹤
如果 TCP 20,21 的三向交握成立(用 tcp 旗標驗證),才會讓這個連線通過
不管它是多少 prot,反正它只能和 ftpd service 溝通
但一般現成的網路設備,應該是沒辦法寫 shell script
除非是那台機器,原先就有針對 FTP 做設計,選項就有 FTP
否則只有 1024 以上全部開放一途,當然的,這會造成很大的安全漏洞
如果不是傳輸大量檔案
web-HD (走 http 協定)之類的應用
會比較方便使用,防火牆也比較好設
ysc_kyy
2007-11-09, 12:27 AM
謝謝兩位的指點,
防火牆因素有考慮過,目前防火牆裡規則是空白的,防止dos攻擊也全部關閉試過,就是將DMZ設給FTP Server還是連不起來才覺得怪異啊!
同一時間port 80的web server遠端連線都一直很正常,以VPN連線進去以區網方式連線ftp也很順利,這表示遠端網路環境是正常的。
越來越懷疑是這個分享器的問題,或許該找個不同廠牌的試試看..........
danking
2007-11-09, 01:14 AM
我之前有遇過類似的問題.
Win2K 開放 FTP 提供給遠端人員連進來使用.
FTP Server 在防火牆裡面, 透過 NAT 對應一個合法 IP 出去.
Policy 中只開放FTP(21) Port, 內部怎麼連都可以使用, 遠端卻連不進來.
遠端一連進來, handshaking 到一半就停了, 直到出現 timeout 訊息.
搞到最後才確定是 passive mode 的問題
只好把 FTP Server 的 passive port 限定在 60000~65000
並且同時在防火牆 Police 開放 60000~65000 (TCP) Port 可以連到 FTP Server
改完設定之後, 遠端就可以正常連到 FTP Server 上了.
ysc_kyy
2007-11-09, 01:50 AM
我之前有遇過類似的問題.
Win2K 開放 FTP 提供給遠端人員連進來使用.
FTP Server 在防火牆裡面, 透過 NAT 對應一個合法 IP 出去.
Policy 中只開放FTP(21) Port, 內部怎麼連都可以使用, 遠端卻連不進來.
遠端一連進來, handshaking 到一半就停了, 直到出現 timeout 訊息.
搞到最後才確定是 passive mode 的問題
只好把 FTP Server 的 passive port 限定在 60000~65000
並且同時在防火牆 Police 開放 60000~65000 (TCP) Port 可以連到 FTP Server
改完設定之後, 遠端就可以正常連到 FTP Server 上了.
謝謝提供經驗,
我的情況是在連線第一階段「正在連線到xxx.xxx.xxx.xxx.........」就完全沒回應了連handshaking 都沒有,passive/active兩種模式也都試過了.........
blueno
2007-11-09, 04:39 AM
稍微去找了一下這台資料,不過官方的web似乎掛掉了(清晨),還好ftp是正常的,稍微翻了一下說明書。
ftp://ftp.mici.com.tw/Public/download/wireless/MN-ZWL-54VR/ 說明書這裏下載...
so....分享器本身有預設虛擬伺服器…還有固定虛擬IP功能,所以我建議設定全部都是靠分享器來作分配..內部的機器都是dhcp..
固定虛擬IP自動配發 請參閱說明書PDF檔案 MN-ZWL-54VR_Manual.pdf 57 page.
FreeNAS 雖然已經設定為指定的IP其實也可以採DHCP的方式。
因為分享器本身可以固定指定的MAC配發指定的IP,方法在…
基本設定 → 區域網路/DHCP設定 → 靜態IP綁定管理 → 新增mac位置&從網路中選擇IP位置 或 新增MAC位置 & 手動輸入IP位置。
基本上由分享器去指定IP會比較好管理,NAT轉發也比較正常(純經驗論)。
虛擬伺服器 請參閱說明書PDF檔案 MN-ZWL-54VR_Manual.pdf 75 page.
NAT → 虛擬伺服器
只要將FTP協定的小方塊打勾填入相對應的IP 5 打勾後就可以用了,通常分享器都不支援PASV所以在外部連入的時候PASV要關掉。
確定、儲存、更新,然後用管理介面的重開機功能重新啟動分享器,外部應該就會正常了。
還是不行還有另外一招。
連線埠轉送 請參閱說明書PDF檔案 MN-ZWL-54VR_Manual.pdf 77 page.
NAT → 連線埠轉送
規則名稱 你喜歡就好..XD
協定 TCP
外部連線埠範圍 1024 - 65535
內部PC IP 位置 你設定的IP ...XD
內部連線埠範圍 20 - 21
新增、儲存、更新,然後用管理介面的重開機功能重新啟動分享器,標準已經開了所以外部連入可以不必特別設定就可以正常連入了。
連線埠轉送,可以使用PASV一般來說不用特別設定ftp軟體就可以正常連入。
官方的FTP資料夾中,有韌體可以下載,可以順便更新,在試試看吧!
備註:還有 虛擬伺服器 與 連線埠轉發 設定相同的port 一定要選擇其中一個開啟,不然會衝突,也就是說 你開啟了虛擬伺服器的 ftp (tcp port 21) 就不能設定 連線埠轉發的 tcp port 20 -21 ,會有衝突,只能選擇一種開啟模式。
備註1:通常不支援PASV連入就是指只能使用PORT的方式。
linux_xp
2007-11-09, 07:21 AM
DMZ 不能通,是因為 DMZ 下是沒有 NAT 的
DMZ 是一種「完全透通模式」,等於忽略閘道防火牆的存在
簡單的說,設成 DMZ 以後,伺服器可以看作是直接掛在 Internet 上面的
閘道防火牆變成只是強波器...
不會做任何過濾,也不會做任何轉換,完全透通
而這個時候,如果 FTP 的 IP 仍是:192.168.1.5
自然外面是無法連線的
如果 DMZ 下要能通,需給它 Public IP (真實IP)
固定單一 IP 就沒辦法了
PPPoE 多浮動,或 DHCP 多浮動,可以嘗試取得真實 IP
因為 DMZ 是完全透通,所以 PPPoE/DHCP 可以作用
先不管防火牆問題,把防火牆全部打開
NAT 只要把 port 20,21 指定給 FTP 就行了
之前不行,是因為少了一個 prot 20
FTP 運作時候,會監聽 20,21,兩個都會用到
有些資料會說 FTP 只用到 port 21,那是錯誤的
ysc_kyy
2007-11-09, 12:01 PM
謝謝兩位大大進一步解說,尤其還有勞blueno大大在深夜(應該說是清晨..)下載說明書了解,實在感念在心.........
嗯!讓ftp server以dhcp取得動態ip是有道理的,這樣全在分享器掌控之下以免成了化外之地。剛剛已改變為動態ip取得,並在分享器內也設定了靜態ip綁定,結果還是一樣.........
剛剛又做了一些測試,在區網之下FileZilla連線模式不管是passive或是active都能正常連線,以IE網址列打入ftp://xxx.xxx.xxx.xxx也沒問題。
FileZilla或IE連線網址以ftp虛擬ip或adsl配發的IP或經DYNDNS轉址的Hostname都可正常連線,分享器虛擬主機若故意設錯在區網就會連不上線,將虛擬主機對應改正之後又可正常,可見在區網之下以adsl ip或Hostname連線時還是有經過分享器正確轉向ftp server.......
測試遠端連線實在很麻煩,原本是上班設好下班回家再測連線,遇到無法遠端設定的項目或必須調整設備只好隔天再來......剛剛特地找了KK免費撥接在辦公室用modem撥接當遠端,結果還是連不上.......
照理說,在區網之下以dyndns轉址過的Hostname(如abc.dyndns.org)能連線成功,那代表dns解析成adsl ip-->以adsl ip進分享器-->分享器導向ftp這一連串動作都是ok的,那為何遠端就是連不進來?還是想不通.........
dou0228
2007-11-09, 12:55 PM
分享器的問題
FTP Server 的封包送到分享器, 若無法把封包內, 帶有 "虛擬 IP" 的轉成真實 IP
自然會無法連線
內部對連不會有問題, 因為帶有 "虛擬 IP" 的和 FileZilla 客戶端為同一 subnet
當然連的上沒問題
DMZ 還分真實 IP 的 DMZ, 與虛擬 IP 的 DMZ
一般分享器的大多是虛擬 IP 的 DMZ