@Amigo83
IT-шник

Как пробросить FTP на cisco?

Всем привет!

Не получается заставить работать FTP во внутренней сети, через роутер cisco. Хочу настроить в пассивном режиме - Пробрасываю 21-й порт ip nat inside source static tcp 1.1.1.1 21 interface Fe4 21
Открываю доступ на WAN интерфейсе - permit tcp any Fe4 eq 21, открываю доступ к динамическим порта (на сервере задал диапазон) permit tcp any Fe4 range 55000 56000.

И вот тут получается жопа. Соединение устанавливается, клиенту выдается IP и порт из нужного диапазона, permit отрабатывает, но вот проброс к серверу на эти динамические порты не идёт. ip inspection FTP пробовал уже и на внешние, и на внутренние интрфейсы вешать, и на IN и на OUT. Но клиент упрямо говорит что не может он на этот порт достучаться.. ip inspect вроде работает:

T: Start ftp session: initiator (xx.220.239.42:39257) -- responder (192.168.1.98:21)
001199: Mar 21 12:46:33.045 PCTime: %FW-6-SESS_AUDIT_TRAIL_START: Start ftp-data session: initiator (xx.220.239.42:5581) -- responder (xxx.xx.xxx.82:55695)
it(config-if)#
001200: Mar 21 12:46:38.123 PCTime: %FW-6-SESS_AUDIT_TRAIL: Stop ftp-data session: initiator (xx.220.239.42:5581) sent 0 bytes -- responder (xxx.xx.xxx.82:55695) sent 0 bytes
001201: Mar 21 12:46:45.545 PCTime: %FW-6-SESS_AUDIT_TRAIL: Stop ftp session: initiator (xx.220.239.42:39255) sent 657 bytes -- responder (192.168.1.98:21) sent 2188 bytes
001202: Mar 21 12:46:45.549 PCTime: %FW-6-SESS_AUDIT_TRAIL: Stop ftp session: initiator (xx.220.239.42:39257) sent 71 bytes -- responder (192.168.1.98:21) sent 608 bytes


001254: Mar 21 13:06:35.539 PCTime: %SEC-6-IPACCESSLOGP: list WAN-IN permitted tcp xx.220.239.42(31368) -> xxx.xxx.xxx.82(55695), 1 packet
  • Вопрос задан
  • 1417 просмотров
Пригласить эксперта
Ответы на вопрос 1
@Amigo83 Автор вопроса
IT-шник
ip inspect только пропускает сессию через ACL... А как пробрасывать диапазон портов? Сделал два пассивных порта на сервере FTP, пробросил их - работает. Но только в простом режиме. Через ftps не работает. И ip inspect ftps его не цепляет.

А вот что бы работало ftps - пришлось в ACL прописать пассивные порты... Работает. Теперь вопрос - как сделать что бы порты динамически пробрасывались? Например тысяча портов.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы