Пробросил 21 порт. При подключении к FTP по WAN происходит ошибка. По LAN адресу всё нормально. Что делать?

Question

[PO6OT]

Проблема решилась пробросом всех портов с 1 по 65026, но мне такое решение не подходит. Нельзя-ли как-то только через 21 порт всё решить?
Лог скинуть сейчас не могу. Думаю и так всё понятно.

Answer 1

[Rsa97]

Через один порт нельзя. FTP использует 21 порт для команд и случайно генерируемый порт для данных.
Можно попытаться использовать на клиенте активный режим, тогда клиент будет открывать порт данных у себя и передавать его серверу, а сервер уже будет подключаться к этому порту. Но такое работает только если клиент не за NAT'ом.
Можно ограничить серверу диапазон портов и пробросить только их, тогда на клиенте можно использовать пассивный режим.

Comments

[PO6OT]

Активный режим пытался включить. Не помогает.
>Можно ограничить серверу диапазон портов и пробросить только их, тогда на клиенте можно использовать пассивный режим.
Можно то можно.. Рассказывать будете?

[PO6OT]

сервер Debian svftpd

[Rsa97]

PO6OT: Может всё-таки vsftpd?

# man vsfptd.conf
...
pasv_max_port
   The maximum port to allocate for PASV style data 
   connections. Can be used to specify a narrow port 
   range to assist firewalling.
   Default: 0 (use any port) 
pasv_min_port
   The minimum port to allocate for PASV style data 
   connections. Can be used to specify a narrow port 
   range to assist firewalling.
   Default: 0 (use any port)
...

[PO6OT]

Rsa97: спасибо. Да vsftpd

Answer 2

[Вадим Яковлев]

Если это линукс, то нужно подгрузить модуль
ip_conntrack_ftp
и добавить правило типа

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Comments

[PO6OT]

Клиент - Windows, Сервер - Linux.
Сервер с белым IP конечно, а клиент за натом.
Подгрузить каким образом? Полноценную команду можно?
и правило в какой файл добавлять? или командой какой
Сервер - svftpd

[Вадим Яковлев]

Оукеюшки.
вот 2 команды, вводим последовательно:
modeprobe ip_conntrack_ftp
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
и проверяем.
Я тоже не телепат, и не знаю, какой у Вас дистрибутив.
Что за железка NAT'ит ваш трафик от клиента к серверу?
Рискну предположить, что в сетях и в поиске информации Вы дилетант, в противном случае Вы бы не задавали вообще такой вопрос на этом ресурсе, все неоднократно разжевано.

[PO6OT]

Вадим Яковлев: Может это и сработает, но я решил проблему ограничением портов в настройках vsftpd. Спасибо за помощь