Kак реализовать ftp passive server за нат cisco?

[Garison]

Kак реализовать ftp passive server за нат cisco?
не кидать же весть диапазон pasive port например (50200-50290) натом на ftp сервер? может кто знает решение для cisco 1700

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

Скорее всего придется рисовать 91 строчку типа:

Код: Выделить всё

ip nat inside source static tcp [local_ip] 50200  interface [public_ip/external_interface_name] 50200
********
ip nat inside source static tcp [local_ip] 50290  interface [public_ip/external_interface_name] 50290

[Garison]

так и сделал, но начальнико ругается, грит есть более красивое решение

[lolwut]

Код: Выделить всё

ip nat inside source static tcp local_IP local_FTP_port interface public_interface 21

т.е. в общем случае

Код: Выделить всё

ip nat inside source static tcp local_IP 21 interface public_interface 21

и все будет работать, зачем стопицот портов прописывать?

[Garison]

Код: Выделить всё

ip nat inside source static tcp local_IP local_FTP_port interface public_interface 21

т.е. в общем случае

Код: Выделить всё

ip nat inside source static tcp local_IP 21 interface public_interface 21

и все будет работать, зачем стопицот портов прописывать?

чтобы passive mode работал через нат

[lolwut]

просто пробрасываете ТСР 21 внутрь сети до FTP сервера после чего у вас все будет работать
во всяком случае у меня именно так FTP сервер за NAT-ом и работал

[Garison]

он у тебя в activ mode работает тока

[lolwut]

честно говоря мне было пофик как он там будет работать, главное чтобы работал ...
если уж ооочень хочется passive - опишите в конфиге фтп сервера 5 портов и их прокиньте, зачем 90 портов прокидывать?

[lolwut]

мне вот все не дает покоя ваша проблема
решили? не решили?
кстати, я догадываюсь почему у меня FTP работал ... кажется на циске NAT работает совместно с ALG, т.е. циска осуществляя NAT видит основные протоколы (ЕМНИМС в последних IOS-ах вообще NBAR при включении NAT включается) ... вот так вот сразу ссылку не покажу - по быстрому не нашел, но Вы покопайте в этом направлении

[Garison]

может на свежих кисках и работает ALG, на моеи древней 1700 даже и намека нет на эту приблуду, приходится так извращаться, 200 портов не кидал, кинул 10 штук, пока никто не жаловался,на невозможность соединится к ftp, все пашет.

[lolwut]

фишка в том что там и не будет упоминания про NBAR - NAT при включении просто отожрет себе кусок памяти (нагуглил не cisco.com-овский "пруф")