Windows Firewall

Marius '95

troubleShooter
Sunt la serviciu si vreau sa ascult muzica de acasa prin FTP. Ma confrunt cu o problema legata de FTP pasiv si firewall-ul windows-ului (7). Cand firewall-ul este dezactivat, totul merge super. Cand este activat, conexiunea FTP se inchide dupa comanda PASV. Captura de pachete pe server arata ca nu soseste nici o conexiune pe portul de date al FTP-ului. Deci firewall-ul clientului blocheaza conexiunea pe portul de date.
Am incercat sa sterg clientul (foobar2000) din toate listele firewall-ului si sa il adaug manual. N-a mers.
Ce altceva pot sa mai incerc?
 
Păi FTP pasiv înseamnă că serverul deschide un nou port (dintr-o zonă pe care o setezi tu) și îi zice clientului că trebuie să se conecteze la acel port. Iar clientul trebuie să se conecteze la acel port. By default firewall-ul Windows nu blochează conexiuni outbound (doar dacă-l chinui tu). Fă captură pe client să vezi ce se întâmplă. De obicei problema vine de la configurarea incorectă a serverului (îl trimite în bălării pe client), uită-te în logurile ftp-ului să vezi ce îi trimite la passive, să nu-i dea vreo adresă de LAN - că trebuie să setezi în serverul de FTP ce IP să folosească pentru pasiv. Nu am idee de legătura cu firewall-ul în acest caz, pentru că dacă s-a conectat la portul 21 la server ar trebui să se poată conecta și la alt port. Doar dacă are vreun range dubios setat serverul.
 
Ar trebui în firewall să definești tu un interval de porturi TCP care să permită conexiunile pe inbound, și apoi să configurezi serverul FTP cu același interval de porturi pentru transferul de date. Și, desigur, și routerul să facă forwarding la aceleași porturi spre PC.

Daaaaaaar, problema asta e cam cu picioare scurte. De când s-au terminat adresele IP, ISP-ii au început să facă CGNAT, ceea ce înseamnă că tu primești o adresă IP routabilă la router dar de fapt nu e numai a ta, ci e folosită de mai mulți clienți ai ISP-ului care face niște marțocăreli acolo ca să poată folosi puține IP-uri cu mulți clienți. Iar CGNAT-ul ăla nu îl poți controla ca să-i faci port forwarding-uri, și deci vremurile în care poți să te conectezi de la distanță la PC-ul de acasă pe orice port s-au cam terminat.

Poate ar trebui să te uiți la un router cu VPN endpoint pentru acasă, ca să poți de la serviciu să faci un tunel VPN (și setat să nu ruteze TOT traficul internet prin tunel) și apoi să poți accesa serverul FTP fără restricții. Deși e un pic cam ciudat să bagi o adresă FTP într-un mp3 player, mai degrabă ar merge un server HTTP, dar mno, aia ar fi simplu. :biggrin:
 
Nu este o problema a serverului sau a internetului pe server. Cu firewall activat pe client nu merge. Cu firewall dezactivat merge.
(000284)2020-10-23 12.41.23 - guest (86.121.255.130)> CWD /Arhiva/2Audio/4Archive/
(000284)2020-10-23 12.41.23 - guest (86.121.255.130)> 250 CWD successful. "/Arhiva/2Audio/4Archive" is current directory.
(000284)2020-10-23 12.41.23 - guest (86.121.255.130)> PASV
(000284)2020-10-23 12.41.23 - guest (86.121.255.130)> 227 Entering Passive Mode (5,13,225,57,0,20)
(000284)2020-10-23 12.41.23 - guest (86.121.255.130)> disconnected.
Am facut captura de pachete. Nu apare nici o conexiune de date dupa 227 daca firewall-ul este pornit. Cand e oprit, totul ok.

Ca sa fie totul clar, ESTE VORBA DE FIREWALL-UL CLIENTULUI, NU AL SERVERULUI!
 
Last edited:
Păi tu tocmai ne arăți cum serverul tău îi zice clientului să se conecteze pe portul 20, care în mod normal e pentru FTP activ, nu pasiv. Pune un interval de porturi normale (peste 1024).
 
Păi dă enable la logging în firewall. În setările de firewall, click dreapta pe "Windows firewalll..." properties, și acolo ai pe fiecare tip de profil o secțiune de logging, cu nume de fișier și dă-i să logheze dropped packets.
 
Și dacă vrei detalii, se pare că Windows Firewall are sniffer pentru FTP, ceea ce-l face stateful, așa că nu se ia doar după porturi and stuff, se uită și ce comenzi trec pe-acolo: https://social.technet.microsoft.co...global-statefulftp-disable?forum=winserverNIS - iar în configurația ta atipică cu portul 20 probabil zice "ce naiba vrea ăsta?!" (în mod normal portul 20 e folosit ca OUTBOUND în FTP activ, nu inbound; în orice configurație normală portul 20 nu e deschis).
 
Pe scurt - are importanță, fă cum zice miahi că altfel nu văd sensul pentru care ceri ajutor și apoi refuzi să urmezi instrucțiunile.
 
Back
Top