не могу зайти в FTP

[fitter]

Ситуация. Настроил FTP на proftpd
Проблема вот в чем. Локально через фар зайти на фтп можно, при указании IP внутренней сети, если же поставить внешний IP, то начинает конектиться, потом доходит до "запрос имени папки" думает, думает и обрывает. Если использовать IE, то конектиться в обоих случаях.
Люди извне к нему коннектяться, но скорость обмена файлами очень маленькая 9к при канале 512 к

Кто что посоветует?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

# если вылезет проблема, типа тормозов при подключении
# (в момент установления коннекта `задумывается` на 10-20 секунд)
# то раскомментируйте следующие две строки
#UseReverseDNS off
#IdentLookups off

стоит?

[fitter]

Стоит, но проблему не решает. Подключение, проверку логина и пароля проходит быстро, а потом задумывается над "запрос имени папки" и отваливается. При этом в логах по этому поводу ничего нет.

[Alex Keda]

пассивное-активное?
првила файрволла для фтп давай.
и для внешнего интерфейса, и для внутреннего.
вывод

Код: Выделить всё

sysctl net.inet.ip.portrange.first
sysctl net.inet.ip.portrange.last

тоже дай...

[zorg]

Закрой фаером 113 порт, думаю поможет. его можно дать почти в самом начале, вид типа:

Код: Выделить всё

deny tcp from any to any 113

[Alex Keda]

не факт что ident виноват...

[zorg]

не факт что ident виноват...

У меня в двух случаях был виноват именно он. отрубаю нормально, возвращаешь, тормоза. Другое дело скорость скачивания, -да здесь не помню, было ли такое, а вот тормоза при входе, в этом точно помогало.

[Alex Keda]

2 zorg
аватара у тебя прикольная.

[zorg]

Да писали свой фирменный форум, нарыл мне программист мой, вот чего то понравился, с тех пор (с зимы) и использую!

[Alex Keda]

я свой никак не допишу. времени нет
и желания особого - работа большая очень.... а нужды не вижу... пока...

[zorg]

А у нас закрылся проект, вбухали 1500 у.е. но счас думаем внедрять документооборот на Лотусе, потому сам форум, который планировался как единая информационная система прикрылся. Правда его директор (который его и заказывал) под себя сделал, но уж некоторые вещи мне очень не понравились. Если есть желание посмотреть, зарегся, я тебе открою доступ, но уже скорее всего тока завтра. forum.defo.ru
ТОка учти что вход тока по https

[fitter]

Не понял, что активное , пассивное?
Выводы даю.

Код: Выделить всё

/usr/home/vovka/>sysctl net.inet.ip.portrange.first
net.inet.ip.portrange.first: 49152

Код: Выделить всё

/usr/home/vovka/>sysctl net.inet.ip.portrange.last
net.inet.ip.portrange.last: 65535

Правила файервола для ftp для внешнего интерфейса:

Код: Выделить всё

03000 allow tcp from any to 195.234.215.122 dst-port 21 via rl0

Для внутреннего разрешен весь tcp трафик:

Код: Выделить всё

03600 allow tcp from any to any via dc0

Закрыл 113 порт

Код: Выделить всё

deny tcp from any to any dst-port 113

Не помогло
Все тоже, быстрая проверка логина пароля, долгий запрос имени папки (вверху при этом пишеться "Жду данные" и идет время с процентами. Доходят проценты до 99 и все, пишет "соединенгие утеряно"

[Alex Keda]

# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}

[Abigor]

а что для пассивного соединения, открытыли порты с 49152-65535
короче, добавь правило для пробы в начало конфига фаервола
/sbin/ipfw add allow all from any to any 49152-65535 in via $ext_out keep-state

[Abigor]

прикольно, разошлись в минуту

[Alex Keda]

бывает ))

[fitter]

Все прописал
allow all from any to any 49152-65535 in via $ext_out keep-state
Результата нет.
У меня вот какая мысля возникла.
При заходе из инета люди стали нормально конектиться, но я не могу подключиться к своему фтп, если шлюзом у меня сервер 1, а фтп поднято на сервере 2 и при этом в подключении в фаре ставлю внешний IP адрес сервера 2. Если также подключаться, но через шлюз сервера 2, то все ок.
Пробовал и по другому, то есть подключался через шлюз 2 к фтп на сервере 1, также указывая внешний IP сервера 1. Таже фигня вылазит, указанная выше.
Внутренние интерфейсы обоих серверов включены в один свич. Может здесь собака накакала?

[Alex Keda]

Все прописал
allow all from any to any 49152-65535 in via $ext_out keep-state
Результата нет.
У меня вот какая мысля возникла.
При заходе из инета люди стали нормально конектиться, но я не могу подключиться к своему фтп, если шлюзом у меня сервер 1, а фтп поднято на сервере 2 и при этом в подключении в фаре ставлю внешний IP адрес сервера 2. Если также подключаться, но через шлюз сервера 2, то все ок.
Пробовал и по другому, то есть подключался через шлюз 2 к фтп на сервере 1, также указывая внешний IP сервера 1. Таже фигня вылазит, указанная выше.
Внутренние интерфейсы обоих серверов включены в один свич. Может здесь собака накакала?

нихрена не понял чё куда откуда...
картинку бы? с IP-шниками..

[zorg]

Да уж, со слов чего-то мудрёно получается!! Чертёж в студию!