PDA

Bekijk de volledige versie : Как настроить роутер для работы с внешним FTP ?



Pages : [1] 2

Scondo
01-09-2006, 18:10
Купил я себе WL550gE...купил вообще для Вайфая, но хотел прспособить и под роут тоже.

Втыкаю для теста ноут в ВАН, настраиваю его на статике (роут 192.168.0.1, ноут ...0.2, маска 255.255.255.0). ЛАН - 192.168.175.* на такой же маске.
Ставлю Virtual server стандартными фтп настройками на свой фтп 21й порт.... и все!
Что не делаю - нет коннекта. И файрволл врубал/отрубал и роутов фтп... и порты пробовал менят - ничего!

Сам ФТП по логам пишет коннект, но дисконнект от мгновенного до 30 сек.
IP CONNECT DISCONNECT
192.168.0.2 01/09/2006 19:21:25 01/09/2006 19:21:25
192.168.0.2 01/09/2006 19:20:29 01/09/2006 19:20:50

ФТП - Gene6, клиент - Тотал.

В чем может быть дело?

Scondo
04-09-2006, 05:51
Люди!!! Ну в чем может быть дело???

Я уже даже стандартный виртуал серв. отрубил - прописал все ручками. Не работает!

Такое ощущение, что пакет по мапленному соединению назад не идет...

SinClaus
04-09-2006, 10:08
В свойствах соединения (в ТС) поставь "use passive mode ... " - через NAT активный FTP не работает.

Rout
04-09-2006, 10:09
Попробуй порт смапить 20 еще

Scondo
04-09-2006, 15:44
В свойствах соединения (в ТС) поставь "use passive mode ... " - через NAT активный FTP не работает.

Что так, что так зараза.... хотя может это было до смены некоторых параметров.
Ноут, увы временно уехал. Вернут - снова попробую, а может и по другому потестю еще....

alexanderm
05-09-2006, 07:34
В свойствах соединения (в ТС) поставь "use passive mode ... " - через NAT активный FTP не работает.А для того, чтобы работал пассивный режим пробрось (порт форвардинг) весь диапазон портов данных пассивного режима (не менее 10).
Эти же порты также должны быть указаны в настройках FTP сервера.
Проверь, что FTP сервер выдает внешний IP для пассивного режима, а не твой внутренний. Иначе только некоторые (а не любые) FTP клиенты смогут входить на твой сервер (типа SmartFTP с соответствующей галочкой).

Lesnix
23-10-2006, 00:16
Дано:
Роутер Asus WL 500g Premium
Прошивка Олега, pre8. WAN to LAN filter, policy DROP.
DHCP + PPTP, никакие фтп
На роутере нет никаких FTP, все стандартное отключено.

Роутер соединяется с VPN-сервером и получает реальный IP 212.1.x.26 на интерфейс ppp0. Инет при помощи NAT раздается в квартирную сетку 192.168.0.0/24.

Ноутбук с IP 192.168.0.8.
FTP-клиент: Far manager.
Пытаемся соединиться с ftp-сервером ftp.microsoft.com в активном режиме. Соединяемся, успешно получаем листинг директории, файлы etc...

Тем же самым фтп-клиентом пытаемся в активном режиме соединиться с фтп 88.210.60.163
...и НЕ получаем ни листинга, ни всего остального. :confused: В чем причина ?

Начинаем думать.
Итак, в активном режиме смотрим что происходит при коннекте с ftp.m$.com.
Включаем сниффер на ноуте... tcpdump -i ppp0 на роутере... и смотрим.

Отправляем пакеты такие:

192.168.0.8:7318 -> ftp.m$.com:21. На роутере они превращаются в
212.1.x.26:7318 -> ftp.m$.com:21
и летят в америку... Ответ с ftp.m$.com на мой внешний ип 212.1.x.26 прилетает
ftp.m$.com:21 -> 212.1.xx.26:7318
Далее dst-IP подменяется(в соответствии с тем, которые есть в сопоставлениях NAT), пакет становится
ftp.m$.com:21 -> 192.168.0.8:7318
Мы передали серверу команду PORT 192,168,0,8,14,178. Это уже уровень приложений, эта команда по пути никем не модифицируется.

Замечательно, авторизация и прочая прелюдия пролетела...
Теперь ftp.m$.com должен постучаться к нам со своего порта 20 на наш порт (14*256)+178=3762.
И действительно...
На роутер прилетает:
ftp.m$.com:20 -> 212.1.xx.26:3762.
====================
Вот здесь у меня возникает резонные теоретические вопросы:
1) Однако, командой PORT ... мы передали серверу 192,168,0,8 ... Почему он стал стучаться на 212.1.x.26 ? Проигнорировал PORT и постучался на SRC-IP ? Или как ?
2) А должен ли этот пакет(ftp.m$.com:20 -> 212.1.xx.26:3762), не имеющий никаких сопоставлений, быть отправлен хосту 192.168.0.8 ? Если и должен, то я не понимаю почему... и откуда роутер узнает какому именно хосту из домашней сетки он предназначен.
====================
Так, или иначе, dst-ip заменяется на 192.168.0.8, пакет становится
ftp.m$.com:20 -> 192.168.0.8:3762 и летит ко мне на ноут... Как и все остальные пакеты. С ftp.microsoft.com к нам прилетел листинг директории и многое другое. Замечательно.

Идем дальше.

В активном режиме смотрим что происходит при коннекте с 88.210.60.163.
Включаем сниффер на ноуте... tcpdump -i ppp0 на роутере... и смотрим.
Авторизация и прочие данные на сервер по dst-порту 21 пролетают аналогично ftp.m$.com. Передаем PORT 192,168,0,8,30,180

Теперь 88.210.60.163 должен постучаться к нам со своего порта 20 на наш порт (30*256)+180=7860.
И действительно...
На роутер прилетает:
ftp.m$.com:20 -> 212.1.xx.26:7860.
====================
...всё те же два вопроса из прошлого пункта.
...тут, наверное, происходит, видимо, что-то еще, о чем я не знаю...
====================
Так, или иначе, dst-ip заменяется на 192.168.0.8, пакет становится
88.210.60.163:20 -> 192.168.0.8:7860 и летит ко мне на ноут...
НО ! Как показывают пакетные снифферы, с этого фтпшника ко мне на ноут пролезает только первый пакет с флагом SYN. Ноут на него отвечает SYN,ACK ... Но на этом все пакеты 88.210.60.163:20 -> 212.1.xx.26:7860 перестают переправляться ко мне на ноутбук...


Вопросы следующий:
1) То, что написано фиолетовым цветом
2) ПОЧЕМУ ? Чего я не понимаю, упускаю из виду и т.п. ?

Помогите, пожалуйста, разобраться.

vsu
23-10-2006, 10:21
Мы передали серверу команду PORT 192,168,0,8,14,178. Это уже уровень приложений, эта команда по пути никем не модифицируется.В данном случае как раз модифицируется. Модуль поддержки NAT для FTP (ip_nat_ftp, в данном случае он вкомпилирован в ядро) перехватывает команды PORT и PASV и при необходимости заменяет IP-адрес и порт в них на реальный IP роутера и выбранный свободный порт. При этом оригинальный адрес и порт сохраняются в таблице NAT и используются для переадресации пакетов соединения данных. Именно благодаря этой замене и работает FTP в активном режиме.

Как показывают пакетные снифферы, с этого фтпшника ко мне на ноут пролезает только первый пакет с флагом SYN. Ноут на него отвечает SYN,ACK ... Но на этом все пакеты 88.210.60.163:20 -> 212.1.xx.26:7860 перестают переправляться ко мне на ноутбук...Это может быть вызвано неработающим PMTU Discovery из-за того, что кто-то по пути до этого сервера отфильтровал пакеты ICMP с типом Destination Unreachable/Fragmentation Needed (type 3, code 4). Обойти эту проблему можно уменьшением MTU для PPTP-соединения - добавьте в Additional pppd options опцию mtu 1460; если с таким значением не заработает, возможно, придётся ставить ещё меньше.

Вообще mtu 1460 имеет смысл ставить для PPTP почти всегда - без этого получается фрагментация пакетов GRE.

Lesnix
23-10-2006, 15:03
В данном случае как раз модифицируется. Модуль поддержки NAT для FTP (ip_nat_ftp, в данном случае он вкомпилирован в ядро) перехватывает команды PORT и PASV и при необходимости заменяет IP-адрес и порт в них на реальный IP роутера и выбранный свободный порт. При этом оригинальный адрес и порт сохраняются в таблице NAT и используются для переадресации пакетов соединения данных. Именно благодаря этой замене и работает FTP в активном режиме.Большое спасибо, как раз вот этого моментика мне и не хватало.
Однако, в таком случае возникает другой вопрос.
Есть у меня в Питере сервер с реальным IP... На нем я проверял "целостность" команды PORT, которая в итоге прилетает на сервер. И прилетало PORT 192,168,0,8,... И именно на основании этого я сделал вывод, что PORT не модифицируется. Однако, кажется, теперь я понимаю в чем дело... Этот мой далекий фтпшник, на который команда долетала в виде PORT 192,168,0,8 ...висит на нестандартном порту. Вероятно, именно поэтому пакеты с ноута на не 21 порт НЕ просматривались роутером на предмет команды PORT для модификации.
Моя "гипотеза" на этот счет верна ?

Что касается фтпшника, который отказался работать в активном режиме (кстати, если я сам ноут сажаю непосредственно на реальный IP(минуя роутер), то этот фтпшник работает).

Это может быть вызвано неработающим PMTU Discovery из-за того, что кто-то по пути до этого сервера отфильтровал пакеты ICMP с типом Destination Unreachable/Fragmentation Needed (type 3, code 4). Обойти эту проблему можно уменьшением MTU для PPTP-соединения - добавьте в Additional pppd options опцию mtu 1460; если с таким значением не заработает, возможно, придётся ставить ещё меньше.

Вообще mtu 1460 имеет смысл ставить для PPTP почти всегда - без этого получается фрагментация пакетов GRE.
У меня размер mtu на ppp0 интерфейсе равен 1372. Это общее требование моего провайдера...
Неужели нужно еще меньше, или, возможно, дело не в этом ?

Oleg
23-10-2006, 15:06
Вероятно, именно поэтому пакеты с ноута на не 21 порт НЕ просматривались роутером на предмет команды PORT для модификации.
Моя "гипотеза" на этот счет верна ?

Так и есть. Только 21й порт.

vsu
23-10-2006, 20:00
Вообще, если собрать ip_conntrack_ftp и ip_nat_ftp модулями, можно было бы использовать параметр ports для задания нестандартных портов.

Ну и пассивный режим должен работать даже при существующей конфигурации. Либо придётся искать что-то типа socks5-сервера, собранного под этот роутер.

MTU в данном случае, похоже, всё-таки не при чём (хотя проблем с этим тоже хватает).

Lesnix
24-10-2006, 12:53
Разрешите еще вас "помучать", уажаемые.

1) У кого-нибудь еще есть версии относительно вышеописанной ситуации? (почему некоторые фтпшники не работают в активном режиме)

2) Вопрос относительно логичности протокола FTP :
В команде PORT мы передаем нечто вроде
PORT 212,1,x,26,14,178
По сути говоря, это IP и номер порта, куда надо приконнектиться. При этом за номер порта по сути отвечают две последних цифры...
Скажите,
1) Не проще ли было просто передавать одну цифру в явном виде -номер порта и всегда стучаться на IP, с которого идет коннект ?
2) Если я передаю серверу команду PORT <чужой IP>,12,524 - он будет стучаться на этот IP ?

Lesnix
26-10-2006, 10:54
...ни у кого нет желания ответить ?

TVadim
26-10-2006, 11:27
Вопрос относительно логичности протокола FTP
Отвечать нечего
Так сложилось, стандарт де-факто, точнее по RFC:) . К нему много замечаний.

vsu
26-10-2006, 14:06
Заставить FTP-сервер передавать данные на чужой IP изначально было можно - например, чтобы скопировать файл с одного FTP на другой (FXP (http://en.wikipedia.org/wiki/File_eXchange_Protocol)). Однако в последнее время эта возможность приносит больше вреда, чем пользы (например, таким образом можно использовать FTP-сервер в качестве прокси - FTP bounce attack (http://en.wikipedia.org/wiki/FTP_bounce_attack)), поэтому на большинстве серверов указание чужого IP в директиве PORT запрещено.

xelam
24-11-2006, 00:47
Соединяюсь с внешним FTP в PASV режиме ... вроде все ок, НО при не проходит команда по закачке файлов ... попросту говоря, ни чего не могу не изменить ни закачать... доступ и права есть... т.к. при соединении с ftp сервером в режиме PORT все закачивается.

В чем может быть дело?

xelam
24-11-2006, 10:56
попробовал с разными ftp... проблема остается... может какие порты надо открыть, что бы работал Пассивный режим нормально?

продолжаю копаться ...
поставил собственный Ftp сервак... внутри сети все ОК.
В пассивном режиме работает - файлы заливает и обновляет.

Значит проблема с Wlan

народ кто может помочь? неужели всем все равно или у вас таких проблем нет?

SancheZ
24-11-2006, 20:58
Присоединяюсь!
через порт 7747 с одним хостом - все ок, заливаю, сливаю.
с другим хостом по стандартному порту - убить могу, залить нет.
1 кб пишется, и ёк.
с третьим хостом по стандартному порту - убить могу, залить нет.

включаю шнур напрямую в комп - все нормально.

Корбина - spb, pptp, 1.9.2.7-7f, wl500gx
Вот такого километр:

Nov 25 00:09:21 kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:05:1c:0d:b3:94:08:00:45:0 0:00:60 SRC=10.120.209.146 DST=10.120.255.255 LEN=96 TOS=0x00 PREC=0x00 TTL=128 ID=34212 PROTO=UDP SPT=137 DPT=137 LEN=76
Nov 25 00:09:21 kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:17:19:de:9c:08:00:45:0 0:01:4a SRC=0.0.0.0 DST=255.255.255.255 LEN=330 TOS=0x00 PREC=0x00 TTL=128 ID=5 PROTO=UDP SPT=68 DPT=67 LEN=310
Nov 25 00:09:21 kernel: ACCEPT IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:c7:c8:cb:c2:08:00:45:0 0:01:48 SRC=10.120.192.17 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=255 ID=9203 PROTO=UDP SPT=67 DPT=68 LEN=308
Nov 25 00:09:21 kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:17:19:de:9c:08:00:45:0 0:01:62 SRC=0.0.0.0 DST=255.255.255.255 LEN=354 TOS=0x00 PREC=0x00 TTL=128 ID=6 PROTO=UDP SPT=68 DPT=67 LEN=334 Спасите - помогите!

Gart
25-11-2006, 16:28
Заметил у себя подобное явление.
Роутер wl500g Deluxe, прошивка от Олега версии 1927-7f.

Подключаюсь с хоста из внутренней сетки (за NAT'ом) к внешнему FTP в пассивном режиме. С некоторыми ftp-серверами нормально работает, а с некоторыми - не скачиваются файлы. Например, ничего не качается с сервера ftp6.nero.com . Кстати, этот сервер у меня и на пинги не отзывается, но он в сети есть.

Если качать напрямую с роутера через wget, но всё нормально скачивается. Похоже, что netfilter как-то неправильно трассирует ftp-соединения. Помогите, пожалуйста, разобраться, в чём тут проблема!

SancheZ
26-11-2006, 01:19
Путем долгих ковыряний и многочисленных перезагрузок пришел с такому решению:
Сетевой карте, которая подключается по шнуру, с помощью IP Optimizer`a, скачаного с http://speedguide.net, ставлю максимально возможное значение mtu, определенное этой программой, в моем случае это 1400.
Вафную карту оставляю в покое, если ей поставить такие цифры, то она сойдет с ума и будет видеть только роутер, так что ей - настройки по умолчанию.
На роутере в Additional pppd options про mtu не пишу - иначе по вафе не выйти.
Что получилось: интернет виден и по шнуру, и по вафе; по FTP в пассиве могу зайти/скачать/убить, но если надо залить файл больше 2 кб через стандартный порт - приходится втыкать шнур. Честно говоря, я и этим пока доволен - могу асус обратно на антрессоли засунуть, шнур в компе под ногами - недалеко, но все равно это не решение.
Господа, те кто понимает в чем дело, просьба помочь.
Ну еще, как положено, корбина - spb, pptp, 1.9.2.7-7f, wl500gx
P.S. Значение mtu я определял, выдернув шнур.
*****
поправка: по вафе отправляется, только сперва думает. Но по шнуру быстрее.

Unkn
28-11-2006, 06:48
У меня тоже Горбина как вы изволили выразиться :)
Выяснилось что такая же проблема вылезает при загрузке файлов больше чем примерно 1300 с чем-то байт по scp.
Ручками также проставил MTU в 1400 и все запахало. Хотя вроде-бы при разрешенном ICMP все само должно было пставится, но не поставилось.
Хоть как-то, но проблема разрешилась thanks to SancheZ.

Вот правда на что наткнулся в инете:

Автоматическое определение размера TCP пакета

(9x,Me,NT,2000,XP) [ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters ].

Добавьте здесь новый параметр с именем «EnablePMTUDiscovery» (dword) и значением «1», чтобы автоматически определять размер «MTU»

взято отсюда (http://win-da.by.ru/internet/speed.shtml)
нашел только сегодня - проверить еще не успел

SancheZ
28-11-2006, 08:33
Вот правда на что наткнулся в инете:

Автоматическое определение размера TCP пакета
(9x,Me,NT,2000,XP) [ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters ].
Добавьте здесь новый параметр с именем &#171;EnablePMTUDiscovery&#187; (dword) и значением &#171;1&#187;, чтобы автоматически определять размер &#171;MTU&#187;

взято отсюда (http://win-da.by.ru/internet/speed.shtml)
нашел только сегодня - проверить еще не успел
Я посмотрел - у меня проставлено (видимо, оптимайзер поставил).
Это не помогает. Там еще есть параметр EnablePMTUDetect, поставил его в 1 - не помогло. Видимо, рутер не говорит размер пакета для ftp.
Странно, что по другому поту все нормально улетает.

***Если выставить mtu сетевой карте ручками, будем иметь проблемы с другим коннектом. Ну то есть приехал я на работу, воткнул там кабель - теперь там не залить, только по вафе. Я нашел у себя псямсяшную сетевуху, ей всадил 1400 и пользуюсь ей дома..
*** Это, как оказалось, полная ерунда - на работе сетку переконфигурировали и мой мак-адрес забыли вписать.:D

Oleg
28-11-2006, 08:42
Такие проблемы бывают только в одном случае: на ПК стоит фаервол, который рубит ICMP пакеты, а именно они используются для сообщений о том, что МТУ таков, что требуется фрагментация.

Если кому-то нужно МТУ 1500 у роутера - впишите в Additional pppd options "mtu 1500" (без кавычек).

SancheZ
28-11-2006, 09:01
Такие проблемы бывают только в одном случае: на ПК стоит фаервол, который рубит ICMP пакеты, а именно они используются для сообщений о том, что МТУ таков, что требуется фрагментация.
Если кому-то нужно МТУ 1500 у роутера - впишите в Additional pppd options "mtu 1500" (без кавычек).
Увы, файрволл виндовский отрублен. Я уже пробовал писать mtu 1500 туда, куда Вы говорите именно эту фразу, но в этом случае шинковкой пакетов начинает заниматься провайдер, и даже броузер сеть не видит, так что ваши 1400 - это то что нужно в данном случае.
Сейчас еще поколдую в виндах, может там какие-то службы не в адеквате.

SancheZ
28-11-2006, 09:13
Итак, загадка разрешилась.
Сделано следующее:
Пуск - контрол панель - администрирование - службы.
И там, в службах, остановлен фаер. После этого - все нормально.
То есть виндовский фаерволл даже мертвый продолжает резать пакеты, и его мало отключить, его надо еще и остановить.
Олег спасибо за вашу уверенность!

----
PS> Это сработало, но только один раз. Так что не так все просто.

Oleg
28-11-2006, 10:20
Для справки: у меня МТУ 1492 (как и у всех с PPPoE), так вот, никаких проблем нет. Так что, "пилите Шура, пилите". Может антивирус какой стоит, который тоже фаерволит? У меня вроде не было проблем со штатным виндовым фаерволом...

xelam
28-11-2006, 21:46
так, давайте разбираться ... МТУ там всякие может и хорошо, но не понятно... почему по шнурку, минуя роутер... с фаирволами все работает, а через роутер... КСТАТИ... с отключенными(даже в службах) нет?

кто может объяснить, что вообще происходит?
даже не верится Олег, что у вас все работает...

SancheZ
29-11-2006, 00:43
Происходит следующее: для pptp асус проставляет mtu 1400 (размер пакета tcp/ip) и сообщает об этом виндам (если Олег говорит что сообщает, значит сообщает) посредством управляющих пакетов ICPM.
Далее происходит следующее.
В случае с http винды понимают, что надо сделать - сказать сетевым картам, чтобы не слали пакеты длиннее 1400 байт (1372 + заголовки) и все прекрасно получается, во всяком случае с помощбю мультипат-форм-дата все прекрасно отсылается.
В случае с ftp все не так хорошо, и винды почему-то пытаются слать пакеты длиннее. То ли они вобще не смотрят на управляющие пакеты, то ли виндовский фаер их зарубает - непонятно. Скорее второе, потому что по нестандартному порту все уходило. После сегодняшней битвы с галками у меня перестало уходить и через порт с четырехзначным числом.
Без Асуса или по automatic IP все проскакивает, потому что корбина позволяет слать файлы большими кусками. Или тут используется какой-то другой стандарт управляющих пакетов..

SancheZ
02-12-2006, 23:05
А возможно, что все происходит вот так:
асус ставит размер пакета mtu 1400, а сам не слушает управляющих ICMP пакетов, но продолжает транслировать их виндам. В случае http это работает, потому что mtu совпадает, а в случае FTP сервак предлагает большее значение, асус передает ICMP пакет виндам, винды задирают mtu, а асус оставляет.

проблема вылезает при загрузке файлов больше чем примерно 1300 с чем-то байт Магическое число - 1372 байта, то есть ровно столько сколько влезает в один пакет с учетом заголовков.
Как бы все это проверить, никто не посоветует?
------
...откат до прошивки 7е не помог


и так ... исходя из этого как же решить проблему?Да делай как к 7-м посте (http://wl500g.info/showpost.php?p=41602&postcount=7) написано. У меня теперь и по вафе отправляется, только сперва думает немного.
Было бы хорошо и вафному адаптеру mtu поставить, но сколько там ставить - неясно. Тут еще шифровальные обертки появляются..
Ну или оставляй все как было, а заливать файлы - переход в avtomatic IP и vpn на компе.

Gart
09-12-2006, 21:14
Я у себя настроил iptables так, что теперь проблема исчезла.
Там, чтобы автоматически устанавливался правильный размер пакетов в зависимости от MTU, можно в post-firewall прописать


iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu

С этим правилом FTP-соединения работают, и не надо ничего менять на клиентских машинах.

Oleg
09-12-2006, 21:18
Я у себя настроил iptables так, что теперь проблема исчезла.
Там, чтобы автоматически устанавливался правильный размер пакетов в зависимости от MTU, можно в post-firewall прописать


iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu

С этим правилом FTP-соединения работают, и не надо ничего менять на клиентских машинах.
Какой у Вас тип соединения?

Gart
09-12-2006, 22:35
Какой у Вас тип соединения?
Внешняя сеть через PPPoE, а внутренняя - напрямую по витой паре.

SancheZ
09-12-2006, 22:47
Я у себя настроил iptables так, что теперь проблема исчезла.
Там, чтобы автоматически устанавливался правильный размер пакетов в зависимости от MTU, можно в post-firewall прописать


iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu

С этим правилом FTP-соединения работают, и не надо ничего менять на клиентских машинах.
Gart, это все в одну строчку?
Счас попытаюсь проверить.

Что между "SYN \" и "-j" ? Пробел или перевод строки?

UPD: попроовал и с "\", и без, и с переводом строки - нет эффекта. Потому что наверное у Вас PPoE, и все должно работать и так..

Gart
10-12-2006, 07:27
Gart, это все в одну строчку?
Счас попытаюсь проверить.

Что между "SYN \" и "-j" ? Пробел или перевод строки?

UPD: попроовал и с "\", и без, и с переводом строки - нет эффекта. Потому что наверное у Вас PPoE, и все должно работать и так..

Либо в одну строчку без разделителя, либо в 2 строчки с разделителем.
У меня всё точно с этим правилом работает, а без него - не работает.
Надо посмотреть, добавляется ли у вас это правило в цепочку, и как оно срабатывает.

Oleg
10-12-2006, 09:09
Внешняя сеть через PPPoE, а внутренняя - напрямую по витой паре.

Для PPPoE такое правило (почти такое) добавляется автоматом в FORWARD. Для PPTP используется именно такое правило. Оба правила не в mangle, а в filter.

Сделайте
iptables -L FORWARD -vn

Oleg
10-12-2006, 09:09
P.s. А не работало в какой из сетей? Внешней или внутренней?

xelam
29-12-2006, 22:51
вот опять проблема... не могу залить файлы... что случилось, даже не знаю... на асусе добавлял только Виртуал для WoW и все... и то потом удалил... а на ФТП так и не заливается до этого работало с 1400 МТУ - менял на локальной машине

попробовал как писал Gart

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu

не работает

может кто решил эту проблему?

Alex Kud
30-12-2006, 09:36
У меня после попыток залить на фтп через pptp мало того, что ничего не получается залить, так еще и роутер перестает на некоторое время пинговаться, не доступен через web и telnet, хотя маршрутизирует все нормально. И так несколько минут, потом опять доступен. Несколько раз проверил, каждый раз такая фигня получается.

Заюзал снифер Ethereal чтобы отследить проблему. Винда посылает FTP-данные в IP-пакетах с Total Length 1500 и установленным флагом Don't Fragment (DF). Роутер сразу реагирует на это ICMP пакетами тип 3 (узел назначения недостижим), код 4 (требуется фрагментация, а бит DF установлен). Однако Windows забивает на это, делает TCP Retransmission с теми же данными и установленным DF в IP. Роутер опять присылает ICMP тип 3, код 4... И все затыкается. Фаерволлы все отключены на компе.

ИМХО, когда VPN держит сам комп, Windows формирует пакеты с размером иходя из mtu канала, по которому будет идти передача, для VPN это 1400 кажется. А с роутером получается, что канал с mtu 1500, а на ICMP почему-то ноль реакции. Если задать mtu 1400 для Ethernet-соединения с роутером, скорее всего все будет нормально, надо проверить.

Alex Kud
30-12-2006, 11:44
Так и есть. Задал mtu = 1400 для соединения с роутером, все сразу заработало.

Настройка MTU в реестре Windows 2000 и XP:
1. Запустите "Редактор реестра" (REGEDIT.EXE).
2. Найдите ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces.
3. Там должно быть несколько вложенный ключей для ключа Interfaces. Посмотрите содержание каждого ключа, и найдите тот, который соответствует вашему сетевому адаптеру.
4. Как только Вы нашли правильный ключ, создайте в нем новый параметр MTU типа DWORD.
5. Щелкнуть дважды на новом значении, выберите опцию Decimal, и введите значение MTU.
6. Перезагрузить Windows для того, чтобы изменения вступили в силу.

Хотя конечно более интересно заставить Windows правильно обрабатывать ICMP или сразу не выставлять флаг DF. Вот только как?

Oleg
30-12-2006, 12:20
А здесь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters

есть EnablePMTUDiscovery?

Alex Kud
30-12-2006, 13:12
А здесь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters

есть EnablePMTUDiscovery?
У меня нет... А что делает этот параметр?

imdex
30-12-2006, 14:38
Описание на MS Technet (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/58752.mspx?mfr=true)
Коротко - ключ определяет, будет ли TCP использовать дефолтный фиксированный размер MTU, либо попытается определить реальный MTU.

Alex Kud
30-12-2006, 15:44
Описание на MS Technet (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/58752.mspx?mfr=true)
Коротко - ключ определяет, будет ли TCP использовать дефолтный фиксированный размер MTU, либо попытается определить реальный MTU.
А что же по умолчанию? Дефолтовый фиксированный он явно не использует, т.к. там написано, что это 576 байт, а он отправляет по 1500. Но и определять он тоже что-то не хочет, игнорируя ICMP, судя по всему.

imdex
30-12-2006, 16:43
Вот ещё. (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/58792.mspx?mfr=true)
MTU detection is determined for all interfaces by the value of the EnablePMTUDiscovery entry. By default, the network adapter for each interface detects the largest MTU that the interface can transmit, and it uses that MTU for its transmissions. However, if MTU detection is disabled (that is, the value of EnablePMTUDiscovery is 0), the system uses a fixed MTU of 576 bytes. If you change the default value of the MTU entry, you override either setting as it pertains to the interface represented by this subkey.

SancheZ
30-12-2006, 19:00
Можно не лезть в реестр руками, а качнуть IP Optimizer с http://speedguide.net.
2 Oleg: EnablePMTUDiscovery есть и было, без mtu=1400 сетевой карте это не помогает.
Пролема возникала только при конекте со стандартным портом, если у хоста другой порт, все отлично отправлялось.
Один раз, когда я экспериментировал, у меня получилось залить без настроек сетевой карте, когда я отключил файрволл как службу, и я подумал что решение найдено - но счастье больше не повторилось.
В моем случае дело может быть еще и в провайдере - что корбина в питере вытворяет, вообще за гранью добра и зла.
2 Alex Kud: а где такой сниффер взять, киньте ссылку плз.

Сабж: а не может ли асус еще и провайдеровские ICMP пересылать? Для FTP канал вроде бы шире (как раз 1500), а винда типа выбирает что ей выставлять?

Alex Kud
30-12-2006, 20:28
2 Alex Kud: а где такой сниффер взять, киньте ссылку плз.

Пожалуйста: http://www.ethereal.com/

SancheZ
30-12-2006, 20:56
Пожалуйста: http://www.ethereal.com/
Спасибо. Об экспериментах будет доложено народу.

take
06-01-2007, 06:53
SancheZ, вы просто меня спасли, сколько я бился на форумаз корбины, заливал через менеджер файлов на сервере и вот теперь когда я поставил АЙПИ Оптимайзер у меня все работает, это чудо! ручная настройка биоса с добавлением там мту как писалось выше мне не помогла но когда я попробовал ваш способ был в шокеот восторга у меня windows xp x64 + corbina

goblin548
13-03-2007, 15:24
Мне помогло прописать ifconfig ppp0 mtu 1500 в post-firewall

PPTP+DHCP

ipse
09-04-2007, 23:30
После перепрошивки на эту прошивку с прошивки от Krey'а появилась проблема с upload'ом на внешние ftp. Когда с машины за роутером пытаюсь залить файл на ftp вне роутера, то до сервера доходит только первый пакет с данными (первые 512 байт). При этом листинг директорий и перемещение по серверу происходит без проблем.

Глубоко проблему пока не копал, если никто с таким не сталкивался - попробую завтра сбросить в factory default.

Duke
10-04-2007, 08:24
1. внешний USB-HDD Box с EX3 разделом через FTP и Samba работают, скорость в районе 4-4.5Мб/сек. Наружу FTP также работает.


В W проц еще быстрее чем в премиуме стоит :confused:


После перепрошивки на эту прошивку с прошивки от Krey'а появилась проблема с upload'ом на внешние ftp. Когда с машины за роутером пытаюсь залить файл на ftp вне роутера, то до сервера доходит только первый пакет с данными (первые 512 байт).

Тырнет через PPP? Проверь размер MTU

ipse
10-04-2007, 08:39
В W проц еще быстрее чем в премиуме стоит :confused:

Из логов WL500W:


Jan 1 03:00:02 kernel: CPU revision is: 00029006
Jan 1 03:00:02 kernel: Primary instruction cache 16kb, linesize 16 bytes (2 ways)
Jan 1 03:00:02 kernel: Primary data cache 16kb, linesize 16 bytes (2 ways)
.........
Jan 1 03:00:02 kernel: CPU: BCM4704 rev 9 at 264 MHz
Jan 1 03:00:02 kernel: Calibrating delay loop... 263.78 BogoMIPS




Тырнет через PPP? Проверь размер MTU
Через pptp (Корбина). Есть подозрение на MTU, потому что судя по Wireshark'у всё нормально вплоть до пакета в 1500 байт (1514 on wire). Только где проблема в данном случае, я не понимаю. Если кто-нибудь подскажет - буду благодарен.

Пробовал сбрасывать в factory default и отключать firewall - не помогает.

Duke
10-04-2007, 08:48
Хм. Вроде кишки те же.
на MTU 1400 один фиг не работает?

ipse
10-04-2007, 08:49
Через pptp (Корбина). Есть подозрение на MTU, потому что судя по Wireshark'у всё нормально вплоть до пакета в 1500 байт (1514 on wire). Только где проблема в данном случае, я не понимаю. Если кто-нибудь подскажет - буду благодарен.

Пробовал сбрасывать в factory default и отключать firewall - не помогает.

Блин.


$ cat /tmp/ppp/options.wan0
...
mtu 1400
...


Добавление mtu 1500 к Additional pppd options: решило проблему. Не понятно только почему в стандартной прошивке всё работало.

Duke
10-04-2007, 08:53
Начиная с 7-f по дефолту MTU 1400 прописывается, в родной этого не было. Но вообще как-то оно странно. если работает 1500 то и 1400 должно.

ipse
10-04-2007, 09:02
Начиная с 7-f по дефолту MTU 1400 прописывается, в родной этого не было. Но вообще как-то оно странно. если работает 1500 то и 1400 должно.
Постфактум нашел релевантную тему на форуме:
http://wl500g.info/showthread.php?t=17350

А зачем по умолчанию MTU 1400?

Oleg
10-04-2007, 09:15
Чтобы уменьшить фрагментацию пакетов. Ибо PPTP 1500 байт не съест и роутер будет бить пакеты.

Есть подозрение, что дело в фаерволе, который работает на ПК. Он режет ICMP пакеты. Это неправильно. Есть такое дело?

ipse
10-04-2007, 09:25
Чтобы уменьшить фрагментацию пакетов. Ибо PPTP 1500 байт не съест и роутер будет бить пакеты.
хм.. так я и думал в общем.. У меня ход мысли был такой, что у сетевухи MTU 1500, значит PPTP должен принимать пакеты размером (1500-заголовок).


Есть подозрение, что дело в фаерволе, который работает на ПК. Он режет ICMP пакеты. Это неправильно. Есть такое дело?
У меня файервола нет в принципе (виндовый тоже отключен), я без него уже который год прекрасно обхожусь. :) Так что проблема явно в другом месте. Если это поможет - могу логи Wireshark'а прислать, только скажите что именно снифать, а то шуму много будет.

Oleg
10-04-2007, 10:59
Не знаю, что смотреть. :) Всё, наверное... Я могу вернуть мту 1500, но мне кажется, что так я просто замаскирую проблему.

Messir
03-05-2007, 11:59
Доброго времени суток всем!!!
Никак не могу справиться с настройками девайса, поэтому возникло несколько вопросов.
1. Как настроить заливку файлов на внешние ФТП (на данный момент - закачивает 512 байт, долго висит и отваливается по тайм-ауту). Нашел вроде похожую тему, скачал IP-оптимизатор, выставил MTU - 1500, но эффекта 0....
2. Заливаю последнюю прошивку от Олега (1.9.2.7-7g) - перестает коннектиться к Интернету, при откате на предыдущую (1.9.2.7-7f) - все опять работает... Сбросы в дефаулт делал...Что я делаю неправильно?
3. Никак не могу разобраться с маршрутами... ну чайник я в этом, а мне нужно попасть на ФТП провайдера, который в локалке. Как настроить, подскажите, плз.

Мои настройки:

WAN Connection Type: PPTP
WAN Connection Speed: 100Mpbs full-duplex

WAN IP Setting
IP Address: 0.0.0.0
Subnet Mask: 0.0.0.0
Default Gateway:
WAN DNS Setting
Get DNS Server automatically? Yes
DNS Server1:
DNS Server2:

PPPoE, PPTP or L2TP Account
User Name: ********
Password: ********
Idle Disconnect Time in seconds(option): 0
MTU:
MRU:
Service Name(option):
Access Concentrator Name(option):
Additional pppd options: nomppe nomppc maxfail 0
Enable PPPoE Relay? No
Special Requirement from ISP
Host Name: matrix
MAC Address: (Клон мака с сетевой карты)
Heart-Beat Server: matrix.vpn


LAN IP Setting
Host Name:
IP Address: 172.16.1.101
Subnet Mask:255.255.255.0


В статусе подключения следующее:


WAN Type: PPTP
IP Address: 10.64.1.76
Subnet Mask: 255.255.255.255
Gateway: 10.128.4.12
DNS Servers: 217.146.241.2 217.146.240.130
Link Status: Connected

ФТП, на который надо попасть имеет адрес: 10.129.1.2

Oleg
03-05-2007, 12:06
Лог с 7g давайте.

Messir
03-05-2007, 13:27
Прикладываю...

Oleg
03-05-2007, 13:29
На страничке WAN&LAN скорость фиксировали? В 7g это работает.

Messir
03-05-2007, 13:32
На страничке WAN&LAN скорость фиксировали? В 7g это работает.

Имеется ввиду это:
WAN Connection Speed: 100Mpbs full-duplex ?
Изначально так установлено....

Oleg
03-05-2007, 13:33
Вот и поставьте Auto. Ибо раньше это не работало и установка игнорировалась.

Messir
03-05-2007, 13:44
Вот и поставьте Auto. Ибо раньше это не работало и установка игнорировалась.

Да, спасибо, Олег!!! Заработало....)))

А что же все-таки делать с невозможностью закачивать файлы на внешние ФТП?????

Oleg
03-05-2007, 13:59
У ФТП нестандратный порт?

Messir
03-05-2007, 14:30
У ФТП нестандратный порт?

Да все стандартное, как я понимаю.. Я может не так выразился... Объясню подробнее... Есть сервер, скажем site.com, на него по ФТП нужно сбросить файлы. На пути стоит роутер. Вот из-за него я и немогу сейчас с локальной машины ничего закачать на ФТП site.com. Хотя с коннектом по ФТП все в порядке. Скачать с ФТП на локальную машину - тоже без проблем... А вот с локальной на ФТП - не получается...

Mam(O)n
03-05-2007, 14:44
http://wl500g.info/showthread.php?t=17350&highlight=512 - та-же проблема с аплоадом. Заливаются только 512 байт и всё. У меня проявилась после апгрейда прошивки. Вылечил уменьшением MTU.

Подключение по кабелю, PPPoE. MTU я в 1300 выставил.

Messir
03-05-2007, 21:11
http://wl500g.info/showthread.php?t=8775&highlight=512 - та-же проблема с аплоадом. Заливаются только 512 байт и всё. У меня проявилась после апгрейда прошивки. Вылечил уменьшением MTU.


Какое значение выставил? И подключение к роутеру по кабелю или по воздуху? Меня больше по воздуху интересует... А там вроде как MTU особо не покрутишь.....

угумк.... попробую... Сенькс!))


Подключение по кабелю, PPPoE. MTU я в 1300 выставил.

Спасибо, помогло... Заработал аплоад и по кабелю и по воздуху....

Остался только вопрос с маршрутами... На форуме провайдера информации нет, как их вычислить - я не знаю, сорри...
Подскажите, кто знает!!!

Все, нашел недостающее звено...
Прописал и маршруты, так что все работает....

Олегу огромный респект за прошивку!!!!!!!

rdva
24-05-2007, 11:39
Конфигурация сети:
WL-500g Premium, прошивка 1.9.2.7-7f, WAN type: PPTP.
К нему подключены:
1. Десктоп WinXP SP2 Rus через кабель.
2. Ноутбук WIndows Vista Home Rus через Wi-Fi.
IP адреса раздает DHCP на рутере.

Проблема:
Десктоп соединяется с FTP сервером в Интернете, видидит его содержимое, скачивает файлы, а вот закачивать на FTP сервер не может! Закачивает 512 байт, после чего задумывается и затем отваливается по тайм-ауту.

Ноутбук свободно скачивает и закачивает файлы на тот же сервер без каких-либо проблем.

Отключил рутер, воткнул кабель от провайдера прямо в десктоп - о чудо, файлы закачиваются. Похоже всему виной рутер.

В чем может быть дело?

Oleg
24-05-2007, 11:41
Поставьте 7g. Порт стандартный?

rdva
24-05-2007, 13:04
Порт на который коннектиться ftp клиент? Да, стандартный.
Обновил прошивку на 7g - ничего не изменилось.

Mam(O)n
24-05-2007, 16:33
Есть такие проблемы:

http://wl500g.info/showthread.php?t=17350&highlight=512

У меня вылечилось уменьшением MTU.

rdva
25-05-2007, 07:28
Уменьшил в Windows MTU до 1400, помогло. Спасибо за помощь!

Cranch
31-05-2007, 08:40
Сорри за ламо, но прочел почти все, нигде не нашел:

девайс 500gP, настроил как "с нуля", прошивка последняя от Олега, сижу под VPN, внутренний IP статический, форвардится на статический внешний IP, внутреняя сетка 10.0.0.0.

Все работает, кроме закачки на внешние FTP (на внутренние прописал в таблице 10.0.0.0 255.255.255.0 10.0.0.х 1 MAN - стало качаться) все внешние фтп'шки отваливаются по таймауту.

Во встроенном файрволе LAN to WAN disabled drop, WAN to LAN enabled drop. NAT отключен.

Что нужно добавить в таблицу маршрутов?

И еще один вопрос - мощность сигнала 84 ухудшает коннект (теряются пакеты), сколько оптимально?

Заранее спасибо всем откликнувшимся.

Mam(O)n
31-05-2007, 08:43
Может это поможет http://wl500g.info/showthread.php?t=17350 ?

Cranch
31-05-2007, 09:39
Про MTU 1400 понял, а что делать с этим:

persist maxfail 0
и
idle 4 tx_only demand

Сейчас стоит nomppe nomppc maxfail 0

Сейчас попробовать не могу - роутер дома ... и ответьте про оптимальную мощность, плз. ... и сенкс огромный за быстрый ответ!

Mam(O)n
31-05-2007, 10:27
Сейчас стоит nomppe nomppc maxfail 0
Нужно крутить только MTU.


и ответьте про оптимальную мощность, плз.

Для 802.11g при увеличении мощности сигнала свыше 30 мВт начинает падать скорость и теряются пакеты.

Cranch
31-05-2007, 13:24
Это, если я правильно понял, в additional pppd options нужно добавить параметр maxmtu 1400 ? Или просто mtu 1400 ? Или в виндовом реестре?

Mam(O)n
31-05-2007, 13:56
IP Config > WAN & LAN

Cranch
31-05-2007, 14:03
А у меня эта поляна неактивна ... тип подключения PPTP, прошивка последняя от Олега :( торможу где-то, не могу понять где.

Mam(O)n
31-05-2007, 15:51
Действительно. Для PPTP эти поля неактивны. Тогда можно попробовать в additional pppd options прописать mtu 1300. Может прокатит. По крайней мере для PPPoE работает.
Еще один вариант - прописать MTU в венде, rdva говорил, что помогло.

Cranch
31-05-2007, 16:16
Добавил MTU 1300 везде, где смог: в строчку nomppe nomppc maxfail 0 mtu 1300
в поле выше, сделав его на секунду активным через PPPoE, в реестр - не знаю, что именно сработало, но закачка полетела - еще раз сенкс.:D

TRUST
21-06-2007, 10:19
+1,
все точно также, проблема та же...
доваил в строчку: nomppe nomppc maxfail 0 mtu 1300
pppoe сделал активным и вписал 1300
потом обратно pptp...рестарт. не заработало(((
может ещё где что помменять? хелп, плиз

cavemanlu
12-11-2007, 20:56
Добралась проблема и до меня. С делюксом этой проблемы не было...

Роутер -Премиум, прошивка - 1.9.2.7-8

Уменьшение MTU дало частичный результат - некоторые файлы стали заливаться.
Другие же не льются. Точнее - они заливаются полностью, но завершение заливки не получается, просто стопорится на конце файла и вылетает по таймауту

Потом опять поменял МТУ, та же фигня, через некоторое время опять не льются....:(

Mam(O)n
12-11-2007, 21:00
стопорится на конце файла и вылетает по таймауту

Не похоже это на mtu. Обычно такое поведение у антивирусов, когда заливается последняя часть файла с вирусом антивирус блокирует доступ к файлу. Без роутера всё ок?

cavemanlu
12-11-2007, 22:09
Не похоже это на mtu. Обычно такое поведение у антивирусов, когда заливается последняя часть файла с вирусом антивирус блокирует доступ к файлу. Без роутера всё ок?

Да, без роутера все ок. Точно не про вирусы - заливаю обычные файлы, гифы, пнг и т.п.


Заметил вот что - после перезагрузки роутера, файло люется нормально, но только некоторое время, потом возврат к багу...

k160
15-11-2007, 02:46
Есть такие проблемы:

http://wl500g.info/showthread.php?t=9221&highlight=512+%E1%E0%E9%F2
http://wl500g.info/showthread.php?t=6130&highlight=512+%E1%E0%E9%F2
http://wl500g.info/showthread.php?t=8775&highlight=512

У меня вылечилось уменьшением MTU.

А как поменять MTU в последней прошивке 1.9.2.7-8 - там серое поле и по умолчанию стоит 1492. Где MTU править-то?

P.S. Проблема у меня аналогичная - не работает аплоад по фтп. Тухнет. Подключение к Корбине по PPTP. По совету Олега установил
Additional pppd options: nomppe nomppc sync
Heart-Beat or PPTP/L2TP (VPN) Server: vpn.corbina.net --sync --nobuffer

Скорость сумасшедшая, все летает, коннект стабильный (тьфу-тьфу). Даже не хочу пробовать L2TP. Но вот ФТП задолбал...

nightrus
15-11-2007, 10:17
вот это попробуй

iptables -I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

k160
15-11-2007, 11:06
вот это попробуй

iptables -I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


А куда эту строку вставлять? Если в Additional pppd options, то что делать с:

nomppe nomppc sync


Кстати, нашел как поменять MTU, поставил 1300 - по прежнему не работает. Вроде MTU актуален только на PPOE, а у меня PPTP.

olenin
15-11-2007, 12:54
А куда эту строку вставлять?
Зайди телнетом и дай эту комманду

cavemanlu
15-11-2007, 14:21
Ничего не помогает...
После перезагрузки роутера файлы льются нормально, но уже минут через 10 перестают...

iliuxa
16-11-2007, 10:40
на некоторых серваках в инете столкнулся с той же проблемой - не могу залить. - начинает заливать и в стопор(скорость слетает до 0)
в некоторых случаях помогло соединение с серваком в пассивном режиме
в некоторых наоборот в активном. Хотя на все сервера при прямом соединении одинаково нормально заливается что в пассиве что в активе

видать точно проблема в роутере

Oleg
16-11-2007, 10:41
на некоторых серваках в инете столкнулся с той же проблемой - не могу залить. - начинает заливать и в стопор(скорость слетает до 0)
в некоторых случаях помогло соединение с серваком в пассивном режиме
в некоторых наоборот в активном. Хотя на все сервера при прямом соединении одинаково нормально заливается что в пассиве что в активе

видать точно проблема в роутере
Проблема с серверами на нестандартных портах?

iliuxa
17-11-2007, 20:03
все мои сервера на 21

cavemanlu
19-11-2007, 18:59
Так есть решение проблемы или пытаться ставить официальную прошивку обратно?

iliuxa
23-11-2007, 14:59
один из вариантов я описал выше - пробовать достучаться до серверов в пассивном режиме и в активном.
у меня тут вот какой прикол я на компе за роутером настроил ftp
так со многих мест комне на нестандартный порт люди нормально заливают а со стрима только по 21
чей косяк?

cavemanlu
04-12-2007, 23:28
В общем, не знаю, что за баг
Спустился с прошивки 8 на 7g и все стало нормально работать )

Oleg
05-12-2007, 06:40
В общем, не знаю, что за баг
Спустился с прошивки 8 на 7g и все стало нормально работать )
Тип соединения какой? Случаем не PPPoE?

vipka
14-12-2007, 20:22
да РРРоЕ на 8 не хочет заливать на фтп ничего =\
а на 7g всё ок

bndr
23-12-2007, 17:23
Т.е. единственный выход - возвращаться на 7g?

ink0gnit0
24-12-2007, 20:34
та же проблема соединение PPPoE
до 8 прошивки небыло вроде таких проблем
помогло изменение МТУ в винде на 1400
откатываться на предыдущую прошивку не стал...

naster
28-12-2007, 21:23
Мне лично помогло отрубление стандартного виндового фаера......

platinum_sn
13-01-2008, 16:52
Соединяюсь с внешним FTP в PASV режиме ... вроде все ок, НО при не проходит команда по закачке файлов ... попросту говоря, ни чего не могу не изменить ни закачать... доступ и права есть... т.к. при соединении с ftp сервером в режиме PORT все закачивается.


Меня спасло добавление ключа MTU в регистр

Brain1999
23-03-2008, 14:14
Делал, как в 30 и 31 посту - СРАБОТАЛО!

motral
07-05-2008, 10:50
народ, а MTU 1400 на VPN или L2TP выставляли?

BORODA(C)
07-05-2008, 12:59
Соединяюсь с внешним FTP в PASV режиме ... вроде все ок, НО при не проходит команда по закачке файлов ... попросту говоря, ни чего не могу не изменить ни закачать... доступ и права есть... т.к. при соединении с ftp сервером в режиме PORT все закачивается.


Таже проблема с прошивкой 1.9.2.7-10, но с особенностями работы со внешним FTP:
1. Что бы скачать файл, нужно выключить PASV режим.
2. Что бы залить файл, нужно включить PASV режим.

LIST во всех режимах работает корректно.

Возможно, проявляется таже проблема, что и при работе с L2TP:


Провёл несколько тестов с перепроверкой результатов удалённого подключения к DameWare Mini Remote Control на компе .
Итого:

1. PPTP с компа - работает.
2. L2TP с компа - работает.
3. PPTP с роутера - работает.
4. L2TP с роутера - НЕ работает (один удачный раз из 100 не в счёт).

Подключение к DameWare Mini Remote Control Server Version 6.7.0.9 через роутер WL-500gP с прошивкой 1.9.2.7.10 при работе роутера через L2TP Corbina не работает!


Диагностика на внешней стороне: "TCP Packet with data out of window"

Song
07-06-2008, 18:32
О млин не думал, что это проблема этого модема :(
Весь извился, всё испробовал.

Спасибо Алекс, всё заработало после инструкции из 30-го поста!

juhich
26-08-2008, 21:21
у меня в продолжение данной проблемы есть другая проблема:
зайти на внешний фтп я в большинстве случаев в состоянии, но скачка с фтп упирается в "потолок" 60-70 кБпс, причем не сразу, а постепенно снижается
заливка на фтп в большинстве случаев нормальная по тарифу провайдера (12,5 мбит) - примерно 1,3 мБпс
при втыкании шнурка напрямую в комп все летает
это происходит, кстати говоря как при port так и при pasv режимах
заодно на этом фтп прописан port range 56100-56300 (это правило есть в virtual server роутера)

config: Win XP SP2, Corbina (L2TP), ASUS WL-500W прошивка 1.9.2.7-10 от Олега
попробовал поправить реестр как аписано в 30м посте - изменений не последовало
фаервол не держу, брандмауер отключил в службах

заранее спасибо за совет ;)

SvetlanaNikit
27-08-2008, 08:24
ребят, столкнулась с непонятной проблемой: никак не удается "расшарить" ftp-сервер, который поднят на одном из компов в домашней локалке..

подняла сервер на основе U-serv, настроила, чтоб он слушал адрес (по стандартному порту) сетевого интерфейса компа (192.168.5.5), на котором установлен. на роутере настроила в разеделе virtual server что все запросы, приходящие на порт 21 перенаправлять на адрес 192.168.5.5 по тому же порту.
вроде правильно?

дальше какое-то шаманство пошло: человек, пытающийся зайти ко мне на ftp, получает доступ не к тем каталогам, которые указаны в настройках ftp-сервера, а к каталогам фаловой системы РОУТЕРА :eek:

как победить сие подскажите, пожалуйста.

роутер WL500 gP.
прошивка: 1.9.2.7-9

dimitriy_argo
28-08-2008, 05:59
решилась ли данная проблема? у меня тоже корбина..и тоже затененное поле- где ставить MTU


вот это попробуй

iptables -I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


куда вставлять этот код?


IP Config > WAN & LAN


а у меня эти опции затененные...что делать?


Уменьшил в Windows MTU до 1400, помогло. Спасибо за помощь!


а где это в WINDOWS ?

а у меня 1024 закачивает и все.. WL500gp v2

PupsDRVR
28-08-2008, 11:07
а у меня эти опции затененные...что делать?

Так написано, что в строку additional pppd options надо добавить текст mtu 1300. Если у Вас проблема с upload на FTP, то рекомендую изучить эту (http://wl500g.info/showthread.php?t=13189&highlight=upload) тему.

dimitriy_argo
06-09-2008, 09:04
Так написано, что в строку additional pppd options надо добавить текст mtu 1300. Если у Вас проблема с upload на FTP, то рекомендую изучить эту (http://wl500g.info/showthread.php?t=13189&highlight=upload) тему.


добавил mtu 1300, но увы не помогает..
ранее проблему решил тем что в реестр добавлял MTU 1400, вместо 1492- все нормально закачивало.. сейчас опять перестало..

PupsDRVR
06-09-2008, 19:43
добавил mtu 1300, но увы не помогает..
ранее проблему решил тем что в реестр добавлял MTU 1400, вместо 1492- все нормально закачивало.. сейчас опять перестало..

А вы читали тему, на которую я ссылку дал? Мне кажется, что нет...

dimitriy_argo
23-09-2008, 15:33
А вы читали тему, на которую я ссылку дал? Мне кажется, что нет...

спасибо. все помогло. прочел тут по проге что меняет MTU и как параметр его вычислить..

NailMan
24-09-2008, 18:01
Здравствуйте!

Начну по порядку:
Когда купил WL500pG v2 был у меня Стрим с его блокировками на 80, 21, 23, 25 портах. Цель оного я знаю, но мне от роутера помимо прямых функций требовалось и свой сайт простенький крутить и FTP иметь вовне и вдобавок желательно иметь доступ по SSH на управление роутером+его веб-морда.

FTP поднял на порту 2121, без проблем с помощью веб-морды(просто в настройках USB приложний выставил его), веб-сервер(php-thttpd) поднял на 8000 порту. В силу того что я совершенно не линуксоид и настройку "сетевухи" забыл много лет назад сразу после сдачи CCNA попробовал адаптировать к себе найденный тут проброс портов.



iptables -t nat -I PREROUTING 1 -p tcp -d ppp0 --dport 8000 -j DNAT --to 192.168.1.1:8000
iptables -t nat -D PREROUTING -i ppp0 -p tcp --dport 80 -j DROP
iptables -t nat -I PREROUTING 2 -i ppp0 -p tcp --dport 8000 -j DROP
iptables -I INPUT 1 -i ppp0 -d 192.168.1.1 -p tcp --syn --dport 8000 -j ACCEPT


Все более менее работало, кроме самого Стрима у которого с WL500 сильная нелюбовь и сплошные падения и невозможность PADO пакеты получить. Вобщем перешел на Корбину у которой связь надежная и порты не залочены.

В итоге начал переделывать на нормальные порты все сервисы чтобы можно было без проблем лазить с тех мест где всякие левые порты запрещены к использованию(к примеру ftp по 2121 с работы у меня не пашет, только на стандартный порт).

Вобщем проблем вышло сразу три.

Первая проблема. Хочу чтобы снаружи thttpd был доступен на 80 порту, веб-морда роутера на 22080, но из локалки веб-морда на 80 порту, а thttpd на любом. В веб-морде указал удаленному управлению порт 22080 - снаружи доступ появился(только очень тормозной до жути!), однако и на 80 порту снаружи доступ есть! Собственно почему так? Пробовал делать на основе вышеприведенного кода сделать проброс 80 порта на 8000 на который настроен thttpd(на адрес 192.168.1.1:8000), но ничего не вышло - все равно открывается веб-морда роутера, а thttpd не доступен.

Собственно как сделать желаемое? Ну или хотя бы сделать чтобы и извне и изнутри thttpd был доступен по 80 порту, а веб-морда также со всех сторон была доступна только с 22080.

Вторая траблема. В веб-морде указал что ftp отныне работает на 21 порту. Перегрузился, смотрю по ps - процесс крутится, количество 1шт. Лезу с другого компа который через gprs в инете на ftp - долго думает, выдает что страница не найдена и все. Смотрю в процессах - теперь запущено vsftpd аж 3 штуки. Лезу еще раз - добавилось еще 2 одинаковых процесса. Что это за фигня такая? При этом в логе vsftpd говорит что логинился Анонимус, залогинился нормально, никакой ошибки. Как настроить FTP обратно на нормальный "родной" порт?


Третий траблес. Извне хочу лезть по 443 порту из Putty, так как к примеру с работы для SSH открыт только он. На роутере делаю такую комманду в post-firewall:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT
...реакции ноль. Достучаться никак нельзя - порт типа закрыт. Та же беда была и на Стриме. Изнутри лезет легко, извне никак.
Dropbear запускается на порт 443 - это в post-boot указал явно.

Поможите собрать рабочий конфиг для post-firewall, а то уже крышу сносит. Нашел сохраненный мануал по iptables но в конец запутался, куда чего заносить. :confused:

OlegM
25-09-2008, 08:35
В веб-морде указал удаленному управлению порт 22080 - снаружи доступ появился(только очень тормозной до жути!), однако и на 80 порту снаружи доступ есть!
C веб-мордой та же беда - доступна даже при отключенном доступе из WAN. Видимо баг прошивки. Пока не решил проблему.

unimozg
25-09-2008, 20:19
iptables -t nat -I PREROUTING 1 -p tcp -d ppp0 --dport 8000 -j DNAT --to 192.168.1.1:8000
iptables -t nat -D PREROUTING -i ppp0 -p tcp --dport 80 -j DROP
iptables -t nat -I PREROUTING 2 -i ppp0 -p tcp --dport 8000 -j DROP
iptables -I INPUT 1 -i ppp0 -d 192.168.1.1 -p tcp --syn --dport 8000 -j ACCEPT



Первая проблема. Хочу чтобы снаружи thttpd был доступен на 80 порту, веб-морда роутера на 22080, но из локалки веб-морда на 80 порту, а thttpd на любом. В веб-морде указал удаленному управлению порт 22080 - снаружи доступ появился(только очень тормозной до жути!), однако и на 80 порту снаружи доступ есть! Собственно почему так? Пробовал делать на основе вышеприведенного кода сделать проброс 80 порта на 8000 на который настроен thttpd(на адрес 192.168.1.1:8000), но ничего не вышло - все равно открывается веб-морда роутера, а thttpd не доступен.



Собственно как сделать желаемое? Ну или хотя бы сделать чтобы и извне и изнутри thttpd был доступен по 80 порту, а веб-морда также со всех сторон была доступна только с 22080.


Нужно удалить правила в таблице -t nat -I PREROUTING


iptables -t nat -D PREROUTING 1

и открыть порты


iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 22080 -j ACCEPT




Вторая траблема. В веб-морде указал что ftp отныне работает на 21 порту. Перегрузился, смотрю по ps - процесс крутится, количество 1шт. Лезу с другого компа который через gprs в инете на ftp - долго думает, выдает что страница не найдена и все. Смотрю в процессах - теперь запущено vsftpd аж 3 штуки. Лезу еще раз - добавилось еще 2 одинаковых процесса. Что это за фигня такая? При этом в логе vsftpd говорит что логинился Анонимус, залогинился нормально, никакой ошибки. Как настроить FTP обратно на нормальный "родной" порт?

C ftp не играл не знаю :confused:


Третий траблес. Извне хочу лезть по 443 порту из Putty, так как к примеру с работы для SSH открыт только он. На роутере делаю такую комманду в post-firewall:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT
...реакции ноль. Достучаться никак нельзя - порт типа закрыт. Та же беда была и на Стриме. Изнутри лезет легко, извне никак.
Dropbear запускается на порт 443 - это в post-boot указал явно.

думаю лучше прописать


iptables -I INPUT -p tcp --dport 443 -j ACCEPT

тогда правило будет прописано в начало таблицы, а не после правила DROP all в конце.


Поможите собрать рабочий конфиг для post-firewall, а то уже крышу сносит. Нашел сохраненный мануал по iptables но в конец запутался, куда чего заносить. :confused:


У самого asus wl-700ge потому про post-firewall ничего не скажу
а в общее
правила смотрим
iptables -vnL
порты
netstat -na

Если хоть как то помог буду рад!

NailMan
25-09-2008, 22:11
C FTP вроде как разобрался - во всяком случае работать стал теперь.

махинации с портом 443 результата не дал - все равно извне порт недоступен. Пробую как путти подключиться так и с ноута дал комманду:

telnet <hostname> 443
которая в удачном случае пройдет, но результат нулевой.



Осталось выяснить как сделать корректно проброс 80 порта с внешней стороны(на которой также и из-за глюка прошивки веб-морда висит совместно с открытым 22080 портом) на 8000 порт внутренней стороны на котором крутится thttpd.

думаю такое же надо и с 443 портом сотворить, хотя может я чего-то не понимаю совсем.

NailMan
26-09-2008, 07:31
Решил 2 проблемы из трех!
Проблема с FTP решилась сама собой каким-то волшебным образом после того как выполнил рекомендованную команду удаления

iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 2

которые с 21 портом ну никак не были связаны.

Вобщем доступ есть нормальный кроме из Фаерфокса - он долго думает и не пускает. IE, TotalCommander и прочие менеджеры лезут нормально.

Также получилось и с пробросом 80 порта на 8000 на котором висит thttpd.
Вот мой Post-firewall


#!/bin/sh
##remap www port
iptables -t nat -I PREROUTING 1 -p tcp -d ppp0 --dport 8000 -j DNAT --to 192.168.1.1:8000
iptables -t nat -D PREROUTING -i ppp0 -p tcp --dport 80 -j DROP
iptables -t nat -I PREROUTING 2 -i ppp0 -p tcp --dport 8000 -j DROP
iptables -I INPUT 1 -i ppp0 -d 192.168.1.1 -p tcp --syn --dport 8000 -j ACCEPT
#remap ssh port
iptables -t nat -I PREROUTING 3 -p tcp -d ppp0 --dport 443 -j DNAT --to 192.168.1.1:443
iptables -t nat -D PREROUTING -i ppp0 -p tcp --dport 22 -j DROP
iptables -t nat -I PREROUTING 4 -i ppp0 -p tcp --dport 443 -j DROP
iptables -I INPUT 2 -i ppp0 -d 192.168.1.1 -p tcp --syn --dport 443 -j ACCEPT
## open ports
iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 22080 -j ACCEPT
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -A INPUT -j DROP

Не работала пока в веб-морде в Virtual Servers не создал правило
80 192.168.1.1 8000 TCP


Осталось решить с 443 портом. В Post-firewall пробовал сделать как с 80 портом, в морде также сделал правило как и на проброс 80 порта - но не фурычит. Телнетом извне не стучится, путти не коннектится. Порт как бы закрыт. Что за фигня такая?

SHH стартует

dropbear -p 443

cenzored
08-12-2008, 23:21
Всем привет, у меня wl-500gP. Отличная вещь :-)
только не пойму, как настроить для нормальной работы с фтп.
проблема в том, что при попытке залить что-нибудь на сервер, фтп-клиент виснет (пробовал coreftp, total commander), PASSV включено, файрволл выключил, пробовал прописать в Virtual Server следующее:
Port range 20:21
Local ip my.ip
Local Port 20
Protocol TCP
Description ftp

не помогает
лог CoreFTP:
==============================================
Resolving ****.com...
Connect socket #396 to ******, port 21...
220 ProFTPD 1.3.1 Server (DreamHost FTP) [******]
USER user
331 Password required for masterbl
PASS **********
230 User user logged in
SYST
215 UNIX Type: L8
Keep alive off...
PWD
257 "/" is the current directory
PASV
227 Entering Passive Mode (*,204,175).
LIST
Connect socket #440 to *, port 52399...
150 Opening ASCII mode data connection for file list
226 Transfer complete
=================================================

в чем тут дело?

Doublekey
11-12-2008, 07:46
Могу посоветовать для начала поставить Олеговскую прошивку если не стоит еще. У меня после нее с умолчательными настройками вполне нормально работало
Можно еще сходить в тему Простая настройка с нуля до торрентов (или как то так) я тамошние скрипты выполнил. И у меня отлично по фтп файлы гоняются.

cenzored
12-12-2008, 08:44
спасибо, пороюсь
но вобще олеговская прошивка стоит и торренты отлично льются и раздаются, а вот фтп что-то никак :-( начинаю заливать и клиент практически виснет...

Gringo
12-12-2008, 13:04
Та же фигня... :(
Остальные операции - без проблем. Скачивает с FTP, удаляет файлы, создаёт на сервере директории и удаляет их. А вот при попытке что-либо на сервер залить виснет. Пишет, что "закачка 100%", при этом окно закачки не закрывается и файл на сервере не появляется.

Роутер: Asus WL-500W, прошивка от Олега 1.9.2.7-10, FTP - Total Commander 7.04a Non registered (пробовал и другие FTP-клиенты ставить, та же фигня - дело не в нём).

Люди, споможите! Где копать? Поиск по сайту и в интернете вообще проблему не решил.

Doublekey
12-12-2008, 14:11
У меня с включенным в веб-оболочке ФТП обращаясь ftp://192.168.1.1 открывается анонимная директория, после логина открывается та что я пабликом назначил. и все качается. спец настроек кроме юзера пароля не делал. гигов тридцать уже закачал. медленно но верно

Gringo
12-12-2008, 20:00
У меня с включенным в веб-оболочке ФТП обращаясь ftp://192.168.1.1 открывается анонимная директория, после логина открывается та что я пабликом назначил. и все качается. спец настроек кроме юзера пароля не делал. гигов тридцать уже закачал. медленно но верно

Ты про что? Про закачку через FTP на подключённый к Асусу диск, что ли? Я же говорю (и cenzored, кажется, также спрашивал именно об этом) о закачке на находящийся в недрах интернета ftp-сервер.

Нашёл я вот тут (http://wl500g.info/archive/index.php/t-8910.html) обсуждение на эту тему. Цитата: «После перепрошивки на эту прошивку с прошивки от Krey'а появилась проблема с upload'ом на внешние ftp. Когда с машины за роутером пытаюсь залить файл на ftp вне роутера, то до сервера доходит только первый пакет с данными (первые 512 байт)...
Добавление mtu 1500 к Additional pppd options: решило проблему. Не понятно только почему в стандартной прошивке всё работало.» Потом тема чуть-чуть пообсасывалась и куда-то похерилась (или я не нашёл).

Изменение размера MTU до 1500 у меня не решило проблему. А вот прописав в Additional pppd options: mtu 1800 у меня заработало, правда, как-то через раз. Так что, проблема существует, увеличение размера MTU, имхо, лишь маскирует проблему.

DfDf
13-12-2008, 23:34
А вот прописав в Additional pppd options: mtu 1800 у меня заработало, правда, как-то через раз. Так что, проблема существует, увеличение размера MTU, имхо, лишь маскирует проблему.

Ребята, по стандарту Ethernet MTU максимум 1500 (ну если конечно Jumbo Frames не включены), и его можно только УМЕНЬШАТЬ! Для pptp максимальный mtu - 1492, можно играть на уменьшение, но никак не на увеличение.

Gringo
14-12-2008, 17:42
Да мне по херу стандарты, если нестандартный вариант работает, а стандартный нет - я буду пользоваться противоречащим стандарту способом. До тех пор, пока кто-либо не предложит нормально работающий стандартный вариант. А таковых на горизонте пока не наблюдается.
:(


в чем тут дело?

У меня всё заработало идеально. Трясите хостера - все проблемы оказались у него в настройках.

revenant
16-12-2008, 10:36
Неподскажете как открыть по ftp несколько папок одному пользователю?

ABATAPA
16-12-2008, 16:07
Да мне по херу стандарты, если нестандартный вариант работает, а стандартный нет - я буду пользоваться противоречащим стандарту способом. До тех пор, пока кто-либо не предложит нормально работающий стандартный вариант. А таковых на горизонте пока не наблюдается.
:(

"Стандартный работающий вариант" приводился уже много раз.
Поищите, наконец, по слову MTU.

ABATAPA
16-12-2008, 16:13
Ребята, по стандарту Ethernet MTU максимум 1500

Приведите номер RFC, раз Вы знаете такие стандарт?

userouter
16-12-2008, 16:32
Приведите номер RFC, раз Вы знаете такие стандарт?

1191
http://www.rfc-editor.org/rfc/rfc1191.txt

ABATAPA
17-12-2008, 19:51
1191
http://www.rfc-editor.org/rfc/rfc1191.txt

Вы привели ссылку на RFC, описывающий 'Path MTU Discovery', но никак не заявленное Вами. По приведенной ссылке:
65535 Official maximum MTU RFC 791

В таблице же 7-1 приведены "Common MTUs in the Internet".

Вы сами-то читали, прежде чем привести ссылку?
Т.е. поддержка многими (кроме "тупых" поделок) устройствами (не только Cisco, разумеется) 1500<MTU<1546 (без Jumbo Frames) - это "нестандарт"? Ну-ну...
То-то многие бы огорчились, если бы было так, как Вы написали... Ни клиентские пакеты 1500 байт в VLAN провайдера, ни многое другое...

DfDf
17-12-2008, 20:21
1500 Ethernet Networks RFC 894: http://www.faqs.org/rfcs/rfc894.html


The minimum length of the data field of a packet sent over an
Ethernet is 1500 octets, thus the maximum length of an IP datagram
sent over an Ethernet is 1500 octets.

Ну чтобы совсем уже все точки на i:

Note: Datagrams on the Ethernet may be longer than the general
Internet default maximum packet size of 576 octets. Hosts connected
to an Ethernet should keep this in mind when sending datagrams to
hosts not on the same Ethernet. It may be appropriate to send
smaller datagrams to avoid unnecessary fragmentation at intermediate
gateways.


Еще одно упоминание здесь (rfc879): http://www.faqs.org/rfcs/rfc879.html


A footnote: The MTUs of some popular networks (note that the actual
limit in some installations may be set lower by administrative
policy):

ARPANET, MILNET = 1007
Ethernet (10Mb) = 1500
Proteon PRONET = 2046

neruki
11-01-2009, 21:30
Всем привет.
Примерно такая же проблема, как у cenzored.
При закачке файлов на фтп сначала долгая пауза, а потом файл медленно закачивается. После использования cuteftp отваливается комп от роутера asus wl-520gc. Перепрошивки и различные варианты отключения файерволов и каспера не помогли.

HEEELP!!!

shusha
16-01-2009, 12:34
Очень нужна помощь в настройке.
Есть роутер, висит дома, к нему приходит интернет, стат ИП. настраиваю... с работы на роутер захожу, вижу все настройки, фтп тайм аут, подскажите юзверю как пошагам настроить фтп, ОЧЕНЬ УЖ НАДА.... :(

Markiz
16-01-2009, 13:08
Вам потребуется: прошивка роутера от Олега. Сам роутер. Флешка или жесткий диск, отформатированные в FAT32, ext3 или ext2. Лучше всего ext2. Главное чтобы не NTFS.

Если не умеете пользоваться консолью, посмотрите совет внизу.

Диск или флешку втыкаете в роутер. Перезагружаете роутер. Далее:
1. Заходите на веб страницу роутера
2. Вкладка Status & Log->System Log
3. Ищете что-то вроде Jan 16 15:42:52 USB storage: ext3 fs at /dev/discs/disc1/part1 mounted to /tmp/mnt/disc1_1
4. То что жирным запоминаете
5. Заходите консолью на роутер
6. Пишете mkdir /tmp/mnt/disc1_1/ftp_pub/ Заменив жирное тем что у вас в логе.
7. Заходите на веб страницу роутера
8. Вкладка USB Application -> FTP Server
9. В Public Directory: Private Directory: Anonymous Directory: пишите /tmp/mnt/disc1_1/ftp_pub
10. Остальное настраиваете по вкусу. У меня так:
Enable FTP Server: Yes
FTP Port: 21
Anonymous Users Access: Read Only
Allow Super User to Login: No
Public Directory: см. выше
Private Directory: см. выше
Anonymous Directory: см. выше
Directory Listings: Yes
Maximum Users Allowed to Log in: 8
Maximum Connections from same IP: 4
Maximum Bandwidth for Anonymous Users (KBytes/sec): 1024
Maximum Bandwidth for Authenticated Users (KBytes/sec): 2048
Idle Timeout in Seconds: 240
Initial Script:

И в разделе User Account List создан пользователь с правами Read\Write\Erase
Что имеем: все желающие имеют доступ на чтение, юзер из User Account List полные права.

Совет: Если не умеете пользоваться консолью, пункты 5 и 6 можно пропустить. А в пункте 9 тогда использовать путь /tmp/mnt/disc1_1/ Недостатоком такого решения является то, что тогда папка фтп сервера, это по сути корень диска (или флешки) и потом, когда вы захотите его использовать на роутере как-нибудь кроме как фтп, то это будет создавать для вас определенные трудности, но я думаю если вы разберетьсь как (или уже умеете) пользоваться консолью, то уж точно сможете все исправить.

shusha
16-01-2009, 14:26
К стандартной прошивке роутера (роутер версии 1 а не 2) не подходит?

Markiz
16-01-2009, 20:23
А что лень прошиться? На стандартной я не пробовал, и врятли на форуме тут кто-то пробовал. Прошивка Олега лучше.

Со стандартной вам сюда: http://forum.asus.ru/

P.S. в стандартной stupidftp в Олеговских последних vsftpd. Он намного лучше. Думай сам. Я прошился сразу как купил роутер. Стандартной прошивки даже не видел почти.

ichernov
05-02-2009, 14:12
Прошивка от Олега. Все вышеописанное сделал. Не понял как заходить из внешней сети.
У меня корбина с динамическим IP. IP смотреть в Status & Log?
пишу взятый оттуда ip ftp://85.**.*.***:8080. Правильно? Адрес 85.**.*.*** пингуется. И как бы ничего. Т.е открывается чистая страница (и без ошибки) (дома положил в /tmp/mnt/disc***/ftp_pub файл, создал там же папку и тоже в нее сунул файл). Пароль на read/write/erase спрашиваться в браузере должен? Как правильно зайти?

Markiz
05-02-2009, 14:33
вопервых откуда вы взяли ftp://85.**.*.***:8080?

Через двоеточие указывается порт. У фтп он 21, если вы руками ничего не изменяли. тоесть нужно либо ftp://85.**.*.*** либо ftp://85.**.*.***:21 что по сути одно и тоже


Если айпи динамический вы из внешней сети на ваш фтп не попадете никак.

Markiz
05-02-2009, 14:38
Чтоб не плодить тем, задам вопрос тут. Как узнать сколько отдано и получено по фтп? без применения "тежеловесных" пакетов вроде rrdtool?
man vsftpd и man tcpdump мною изучен и решение не найдено. :( Плохо искал?

ichernov
05-02-2009, 14:56
вопервых откуда вы взяли ftp://85.**.*.***:8080? IP смотрел в Status & Log


Через двоеточие указывается порт. У фтп он 21, если вы руками ничего не изменяли. тоесть нужно либо ftp://85.**.*.*** либо ftp://85.**.*.***:21 что по сути одно и тоже
кажется прочитал в web странице настройки роутера, что из wan добираться через него, возможно не правильно понял


Если айпи динамический вы из внешней сети на ваш фтп не попадете никак. разве внутри сеанса он меняется и его нельзя считать временно статичным?

StaREViL
05-02-2009, 15:10
IP смотрел в Status & Log
кажется прочитал в web странице настройки роутера, что из wan добираться через него, возможно не правильно понял
разве внутри сеанса он меняется и его нельзя считать временно статичным?

Можно, но лучше сразу повесить dyndns

Markiz
05-02-2009, 18:46
Чтоб не плодить тем, задам вопрос тут. Как узнать сколько отдано и получено по фтп? без применения "тежеловесных" пакетов вроде rrdtool?
man vsftpd и man tcpdump мною изучен и решение не найдено. :( Плохо искал?

а на мой вопрос есть ответ?

ichernov
07-02-2009, 17:57
Можно, но лучше сразу повесить dyndns
Спасибо за помощь! Настроил по http://wl500g.info/showpost.php?p=87570&postcount=9

barabashko
24-02-2009, 02:01
В рауетере 500gvP2 настроен dyndns, на локалке стоит ftp сервер.
Локалка в раутере прописана в DMZ.
Коннект происходит, но как дело доходит до сохранения файла, i
425 Cannot open data connection.
по логам и отваливается.
Т.е. почему то не происходит передача файла. Файер на локалке отключен. Когда попробовал с этой же локалки постучаться через
name.dyndns.org к себе же, файлы залить смог. Но нет уверенности в чистоте такого эксперимента.

Когда раутер исключаю - все работает.

Что же где же нужно прописать? :)

barabashko
24-02-2009, 16:43
помогите пожалуйста, не удается разобраться в чем затык

Power
24-02-2009, 17:44
Скорее всего, проблема или в сервере, или в клиенте, но не в роутере. Надо снимать логи сниффером со всех точек + логи ftp на клиенте и на сервере.
Но на всякий случай, покажите вывод команды (на роутере)


iptables-save

и скажите, откуда вы пытаетесь соединиться.

barabashko
24-02-2009, 20:16
Я тоже так думал, но не ясно почему при исключении раутера из цепочки все работает.

коннект идёт с 217.65.8.202
локалка 192.168.1.76


iptables-save
# Generated by iptables-save v1.2.7a on Tue Feb 24 09:11:18 2009
*nat
:PREROUTING ACCEPT [5331:442383]
:POSTROUTING ACCEPT [1015:68473]
:OUTPUT ACCEPT [719:44521]
:VSERVER - [0:0]
-A PREROUTING -d 95.24.59.87 -j VSERVER
-A PREROUTING -d 10.66.78.253 -j VSERVER
-A POSTROUTING -s ! 95.24.59.87 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.66.78.253 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -j DNAT --to-destination 192.168.1.76
COMMIT
# Completed on Tue Feb 24 09:11:18 2009
# Generated by iptables-save v1.2.7a on Tue Feb 24 09:11:18 2009
*mangle
:PREROUTING ACCEPT [403526:106795336]
:INPUT ACCEPT [160951:51487828]
:FORWARD ACCEPT [242213:55235341]
:OUTPUT ACCEPT [127769:19366142]
:POSTROUTING ACCEPT [373529:75921737]
COMMIT
# Completed on Tue Feb 24 09:11:18 2009
# Generated by iptables-save v1.2.7a on Tue Feb 24 09:11:18 2009
*filter
:INPUT ACCEPT [18812:1609161]
:FORWARD ACCEPT [3341:174134]
:OUTPUT ACCEPT [127654:19311167]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT

Power
24-02-2009, 21:37
Выглядит нормально.

А какой ip-адрес посылает сервер в ответ на PASV? Смотреть нужно до преобразования роутером (в логах сервера, например). Ну и интересно, что приходит на клиент после преобразования роутером.

А исключение роутера имеет весьма неочевидные последствия.

barabashko
24-02-2009, 21:49
Говорит вот так


150 Data connection accepted from 217.65.8.202:38784
при этом порт на конце все время меняется


09/02/25 00:32:07, 82, 217.65.8.202, root, finished uploading '/backup_2009.02.25_00-07-03' -> 'k:\ftp_backup\2009.02.25_00-07-03' from 0 to 0 (00:05:01 - 0 KBytes/s).
09/02/25 00:32:07, 82, 217.65.8.202, root, 426 Connection closed; Connection closed, timed out.
09/02/25 00:32:07, 82, 217.65.8.202, root, 421 Connection closed, timed out.

пересылаемые файлы не нулевой длинны, я пробовал пересылать другие файлы заходят с сервера через телнет на локалку, эффект такой-же.

agamemnen
02-08-2009, 19:50
Возможно тема уже заежена, но читая форум наткнулся на много разрозненых инструкций по тому как фтп поднять, посоветуйте по шагам как это сделать???:confused:

ЗЫ
WL-500 gP v1
Прошивка последняя 10 от Олега(песпект автору!)

Поднял rtorrent)

ЗЫ 2
Через веб морду не поднимается фтп, толи я чет не так делаю, толи гдето косяк.

krasaval
03-08-2009, 12:22
В веб морде включи FTP USB Application/ FTP Server:


Enable FTP Server: Yes
FTP Port:21


Далее в User Account List добавь пользователей которые будут иметь доступ.

Далее в консоле putty в файле
/tmp/etc/vsftpd.passwd правь путь который будет доступен по FTP, лучше добавь скрипт в post-mount
который будет менять данный файл


admin:00000000000000000000000000:0:0:admin:/tmp/harddisk/ftp_pub:/sbin/nologin


Лучше в post-mount добавь строчку


sed -i 's#/tmp/harddisk/ftp_pub#/tmp/mnt/disc0_1#' /etc/vsftpd.passwd

bocman
09-11-2009, 19:02
Всем доброго времени суток!
Подскажите, пожалуйста, можно ли настроить (и если можно, то как) несколько фтп серверов на одном(стандартном) порту имея один внешний ip, но разные доменные имена.

Есть vsftpd на роутере, и есть фтп-сервер на машине внутр сети.

Хотелось бы попадать на один фтп-сервер по одному доменному имени, а на другой - по другому.

Либо же на оба фтп-сервера по одному и томуже доменному имени, но разные папки что бы были видны. Правда, как мне кажется - это уж совсем фантастика.

Power
09-11-2009, 20:00
Протокол FTP не различает доменных имён. Там вообще нет такого понятия. Так что на одном порту не получится.

bocman
09-11-2009, 20:16
Протокол FTP не различает доменных имён. Там вообще нет такого понятия. Так что на одном порту не получится.

Я в этом не сомневался. Но думал, что, возможно, vsftpd умеет как-то разлечать доменные имена...

vectorm
09-11-2009, 21:56
Делается просто:
Все имена ведут на 1 IP.
Работает реально 1 FTP сервер.
Пользователи заводятся с указанием домена, например vasya@domain.msft
Для пользователей генерятся личные домашние папки, например /диск/home/имя_домена/логин/

Как настраивать vsftpd с домашними папками пользователей - есть куча хаутушек в инете, либо порыться поиском тут, и доработать слегка под свои условия.

PS: лично я дальше практически умолчального конфига не тренировался - не за чем пока было.

OlegaVB
10-11-2009, 03:49
А какая домашняя папка у пользователя прописана, туда vsftpd и отправит после логина пароля.

bocman
10-11-2009, 06:53
На сколько я понимаю, в этом случае, весь траффик пользователя, работающего с фтп-сервером, кроторый находится внутри сети, будет идти через vsftpd.

На сколько сильно это будет загружать роутер по сравнению с обычным порт-форвардингом?

OlegaVB
10-11-2009, 08:23
Сильно грузит роутер работа с usb ( диск, флешка ) до 80-90%, а сам vsftpd не сильно грузит, но без дисков то он не работает.

vectorm
10-11-2009, 08:43
На сколько я понимаю, в этом случае, весь траффик пользователя, работающего с фтп-сервером, кроторый находится внутри сети, будет идти через vsftpd.

На сколько сильно это будет загружать роутер по сравнению с обычным порт-форвардингом?
Ничто не мешает поднять FTP сервер внутри LAN, на компьютере/сервере, и пробросить порты снаружи.

Danya0w
10-11-2009, 14:12
я на стандартном vsftpd завел логины и пароли с указанием каталога для каждого, в т.ч. и директорию анонимного файлообмена.
доступно как локально, так и удаленно.
далее сохранил конфигурацию на флешке, при загрузке убивается встроенный vsftpd и запускается он же с моим конфигом в post-mount:


killall vsftpd
vsftpd /opt/etc/vsftpd.conf &


/opt/etc/vsftpd.conf:

anon_allow_writable_root=yes
anon_world_readable_only=no
anon_umask=022
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
dirmessage_enable=yes
download_enable=no
dirlist_enable=no
hide_ids=yes
syslog_enable=yes
local_enable=yes
local_umask=022
chmod_enable=no
chroot_local_user=yes
check_shell=no
user_config_dir=/opt/etc/vsftpd.users
passwd_file=/opt/etc/vsftpd.passwd
listen=yes
listen_port=21
background=yes
max_clients=12
idle_session_timeout=512
utf8=yes
use_sendfile=yes
anon_max_rate=0
local_max_rate=0

/opt/etc/vsftpd.passwd - анонимус и юзер:

ftp:x:0:0:ftp:/tmp/harddisk/users/anonymous:/sbin/nologin
any_user:passsword_encode:0:0:any_user:/tmp/harddisk/users/any_user:/sbin/nologin

YSL
12-11-2009, 18:20
У меня вопрос, я пробовал настроить FTP как сдесь (http://wl500g.info/showpost.php?p=127951&postcount=2) но ничего не получилось, вопрос обязательно так настраивать /tmp/mnt/disc1_1/ftp_pub/ а в /opt можно настроить.

vectorm
13-11-2009, 08:37
У меня вопрос, я пробовал настроить FTP как сдесь (http://wl500g.info/showpost.php?p=127951&postcount=2) но ничего не получилось, вопрос обязательно так настраивать /tmp/mnt/disc1_1/ftp_pub/ а в /opt можно настроить.
А зачем создавать дублирующую тему? Тяжело спросить в существующей?
Все равно переместим же.

poli-koli
15-12-2009, 01:54
Помогите, пожалуйста настроить ftp для wl500gp.
К роутеру подключена флешка.
Локальная ftp работает, а вот как сделать, что бы ее видно было через инет, не пойму.
Адрес ip статический, прошивка от Олега)
Если можно более-менее пошагово.
Спасибо)

vectorm
15-12-2009, 08:08
Помогите, пожалуйста настроить ftp для wl500gp.
К роутеру подключена флешка.
Локальная ftp работает, а вот как сделать, что бы ее видно было через инет, не пойму.
Адрес ip статический, прошивка от Олега)
Если можно более-менее пошагово.
Спасибо)
Статический внешний или статический внутренний?
Тип подключения к Интернет какой? Логи и настройки где?
А пошагово уже не раз все описывали, только народ искать не любит, поэтому и засран форум кучей бесполезной информации ...

poli-koli
15-12-2009, 12:41
Статический внешний или статический внутренний?
Тип подключения к Интернет какой? Логи и настройки где?
А пошагово уже не раз все описывали, только народ искать не любит, поэтому и засран форум кучей бесполезной информации ...

Спасибо за ответ.
Статический внешний.
Подключений по выделенной линии.
А лог какой? его пока нет.)
Я читал ваши инструкции, а можно просто поконкретней, что из этого всего надо сделать в моем случае?
Спасибо.

Basile
15-12-2009, 13:07
Приведите, что выводит iptables-save

poli-koli
15-12-2009, 14:04
Приведите, что выводит iptables-save
у меня система windows xp, я нашел что под него есть какая-то прога WIPFW, она может вывести, то что выводит iptables?

vectorm
15-12-2009, 14:49
у меня система windows xp, я нашел что под него есть какая-то прога WIPFW, она может вывести, то что выводит iptables?
Тема "Для новичков и ленивых", нулевые пункты почитайте.
Вам надо подключиться к роутеру и в его консоли получить нужные данные.
А лог роутера в веб морде прекрасно виден.
Вкладка Status & Log.

agamemnen
14-01-2010, 22:26
В веб морде включи FTP USB Application/ FTP Server:


Enable FTP Server: Yes
FTP Port:21


Далее в User Account List добавь пользователей которые будут иметь доступ.

Далее в консоле putty в файле
/tmp/etc/vsftpd.passwd правь путь который будет доступен по FTP, лучше добавь скрипт в post-mount
который будет менять данный файл


admin:00000000000000000000000000:0:0:admin:/tmp/harddisk/ftp_pub:/sbin/nologin


Лучше в post-mount добавь строчку


sed -i 's#/tmp/harddisk/ftp_pub#/tmp/mnt/disc0_1#' /etc/vsftpd.passwd



Все хорошо, фтп поднялся, терь другая проблема, торрен умирает как тока включаю фтп, в чем косяк????

GUID
08-02-2010, 16:19
Задача: перенести ftp-сервер (vsftpd) на нестандартный порт (чтобы немного усложнить жизнь подборщикам паролей). Допустим это будут порты 12000, 12001.

Поскольку ftp является "комплексным" и для его поддержики используется "ip_conntrack_ftp", то вопросы, ответа на который не могу найти:
1. возможен ли вышеуказанный перенос?
2. ip_conntrack_ftp должне знать об используемых портах? (получается, что его надо перекомпилировать)

OlegaVB
08-02-2010, 16:44
Как-то не задумывался - перенес на 60021 и все нормально - в конфиге vsftpd изменил порт и разрешил доступ к нему, вроде нормально работает.

theMIROn
08-02-2010, 17:23
Задача: перенести ftp-сервер (vsftpd) на нестандартный порт (чтобы немного усложнить жизнь подборщикам паролей). Допустим это будут порты 12000, 12001.

Поскольку ftp является "комплексным" и для его поддержики используется "ip_conntrack_ftp", то вопросы, ответа на который не могу найти:
1. возможен ли вышеуказанный перенос?
2. ip_conntrack_ftp должне знать об используемых портах? (получается, что его надо перекомпилировать)

смените в web морде номер порта, автоматически ip_conntrack_ftp выставится на нужный диапазон.

GUID
08-02-2010, 17:38
ip_conntrack_ftp выставится на нужный диапазон.
я правильно понял, что это произойдет, даже если:
- встроенный ftp-сервер не используется;
- у меня 10-я прошивка Олега (даже не последняя).
... а можно это сделать "ручками"?

GUID
08-02-2010, 18:05
(1) перенес на 60021
(2) в конфиге vsftpd изменил порт
(3) и разрешил доступ к нему
Я сделал следующее:
(1) в конфиге:
listen_port=60021
(2) в post-firewall:
iptables -A INPUT -p tcp --dport 60021 -j ACCEPT

вроде нормально работает.
подключение происходит, но пишет, что не может выполнить команду POST => списка файлов я не вижу => соединение разрывается...

GUID
08-02-2010, 20:15
смените в web морде номер порта, автоматически ip_conntrack_ftp выставится на нужный диапазон.
Я правильно понял, что Ваш ответ означает:
- ip_conntrack_ftp для своей работы использует номера портов ftp-сервера;
- номер порта от берет из usb_ftpport_x (nvram show | grep usb_ftpport_x).

theMIROn
08-02-2010, 20:27
Я правильно понял, что Ваш ответ означает:
- ip_conntrack_ftp для своей работы использует номера портов ftp-сервера;
- номер порта от берет из usb_ftpport_x (nvram show | grep usb_ftpport_x).

insmod ip_conntrack_ftp ports=21,60021
insmod ip_nat_ftp ports=21,60021
http://code.google.com/p/wl500g/source/browse/trunk/rc/common_ex.c#512

GUID
09-02-2010, 08:10
Micro-HowTo (вроде бы такого нет)
Задача: изменить порт ftp-сервера на произвольный и разрешить доступ к нему из wan.
В случае, если мы используем встроенный ftp-сервер, то все быстро и непринужденно настраивается из веб-интерфейса.
Если же мы устанавливали ftp-сервер отдельно, то все немного интереснее...
Рассматриваем на примере vsftpd, который заставим работать на порту 33321.

(1) В конфиге сервера (vsftpd.conf) прописываем порт, который он будет слушать:

listen_port=33321

В post-firewall пишем:

#1
rmmod ip_conntrack_ftp
rmmod ip_nat_ftp

#2
insmod ip_conntrack_ftp ports=21,33321
insmod ip_nat_ftp ports=21,33321

#3
iptables -A INPUT -p tcp --dport 33321 -j ACCEPT
где: 1 - выгружаем указанные модули; 2 - загружаем их с необходимыми параметрами; 3 - открываем доступ

Не забываем сохраниться...
flashfs save && flashfs commit && flashfs enable && reboot

Setious
13-02-2010, 01:16
Доброго времени суток.

есть wl520gu с подключенным на него hdd + имеется выделенный IP

Вопрос следующего плана: как поднять FTP (использую только данный роутер и подключенный hdd) и сделать на него доступ из инета?

З.Ы.
Заранее извиняюсь, может быть и есть такая тема на форуме, но увы не нашел :)

dis8848
13-02-2010, 07:47
Заранее извиняюсь, может быть и есть такая тема на форуме, но увы не нашел :)а Вы и не искали... увы:сюда (http://lmgtfy.com/?q=FTP+site%3Awl500g.info)

kro12
16-02-2010, 10:42
Установил HDD . И создал FTP сервер , все работает хорошо НО вместо русских букв непонятно что . Подскажите пожалуйста может где кодировку поменять или что еще . Да файлы на жестком диске скачаны через Transmision .

Noobeum
16-02-2010, 10:50
ключевое слово - кодировка

Ilya_89
19-02-2010, 01:09
Здравствуйте!!!
Скажите пожалуйста, как мне настроить FTP сервер на WL-520GU для вставленной флешки. Флешку он видит и захожу я на неё как на локальный сетевой ресурс. А вот как зайти на неё из браузера?
Спасибо.

Ilya_89
19-02-2010, 01:31
Могут ли пользователи как навредить, что то удалить с моего FTP. или им будет доступна только скачка файлов и просмотр директорий?
Я смог разобраться...
Но вот другой вопрос.
Я даю ссылку другу ftp://95.72.253.225/ а провайдер мне уже поменял IP... как быть, как можно сделать так, что бы можно было пользоваться FTP после смены IP. Ip меняется после каждого переподключения инета, естественно.

Unlimited
19-02-2010, 08:09
ddns вам поможет.

Andrey2005
22-02-2010, 19:14
Скажите, я запретил доступ анонимусам, и добавил аккаунт, но по этому имени и паролю зайти не могу. Что я не так сделал ?

lenin154
14-03-2010, 02:02
Здравствуйте. Давненько я не посещал Ваш форум, но пришло время просить о помощи. У меня Asus WL-500gP v1, прошивка 1.9.2.7-10-USB-1.71 . Все нормально работает. К роутеру подключены: один компьютер и один мультимедийный плеер Xtreamer. В плеере есть ftp сервер. В настройках плеера вычитал , что ftp имеет 21 порт. Со своего компа я захожу на сервер и вижу все свои папки, ну а снаружи войти на сервер не могу. Мне подсказали, что надо в роутере настроить PortForward (Virtual Server), но так я "не совсем дружу" с разными IP, портами и т.д. :confused:, то прошу Вас указать дальнейшие мои действия. Заранее благодарю за помощь. С ув. Олег

bak
14-03-2010, 07:22
допустим у плеера ip 192.168.1.33, тогда тебе надо ввести:
Port range: 21
Local IP: 192.168.1.33
Local port: 21
Protocol: TCP

lenin154
14-03-2010, 13:58
допустим у плеера ip 192.168.1.33, тогда тебе надо ввести:
Port range: 21
Local IP: 192.168.1.33
Local port: 21
Protocol: TCP

Спасибо за помощь. Я всё так и ввёл, сохранил настройки и перезапустил роутер. А должна ли в пустом пространтсве (как на скрине) появиться строка с веденными данными, или там должна быть пустота?

Power
14-03-2010, 16:01
А должна ли в пустом пространтсве (как на скрине) появиться строка с веденными данными?

Да, и для этого надо было нажать кнопочку Add. А ещё нужно выставить Enable Virtual Server? - Yes.

lenin154
14-03-2010, 22:33
Да, и для этого надо было нажать кнопочку Add. А ещё нужно выставить Enable Virtual Server? - Yes.

Всё сделал по Вашему советам, но результата нет. И фаервол пробовал отключать в роутере, но и это действие не позволило заходить ко мне на ftp сервер снаружи. Наверное во всём виновен внутренний статический IP, а нужен внешний IP. Я правильно думаю???:mad:

Power
14-03-2010, 23:30
Всё сделал по Вашему советам, но результата нет. И фаервол пробовал отключать в роутере, но и это действие не позволило заходить ко мне на ftp сервер снаружи. Наверное во всём виновен внутренний статический IP, а нужен внешний IP. Я правильно думаю???:mad:

Если у вас действительно нет внешнего айпи, тогда да, зайти никак не получится.

lenin154
15-03-2010, 01:39
Если у вас действительно нет внешнего айпи, тогда да, зайти никак не получится.

Спасибо за разъяснение!

vapvap
09-05-2010, 12:03
Подскажите пожалуйста, как можно в FTP server'е (если это возможно вообще) сделать на USB/HDD носителе отдельные папки (размер, приоритет) для каждого пользователя с различными правами доступа. Заранее благодарю Вас за помощь.

Hleb
19-05-2010, 17:22
Роутер ASUS WL500g.
На компьютере установлен Filezilla Server, настроен и локально работает.
Настройки роутера: NAT Setting\Virtual Server\Virtual Server List, настроил Port Range - 21, Local IP - 192.168.1.108 (IP компьютера), Local Port - 21, Protocol - TCP, Protocol No. - пусто, Description - FTP.
Сохранил, перезагрузил. Но ничего не работает, то есть логов на Filezilla нет вообще, что означает, что вообще не пробивается сквозь роутер FTP запрос.
Что я сделал не так?
Кстати, FTP на роутере должен быть при этом выключен?

D_dmitry
19-05-2010, 19:04
фтипи на роутере должен быть выключен

Enable Virtual Server? галочку (Yes) поставили?

Power
19-05-2010, 19:36
Роутер ASUS WL500g.
На компьютере установлен Filezilla Server, настроен и локально работает.
Настройки роутера: NAT Setting\Virtual Server\Virtual Server List, настроил Port Range - 21, Local IP - 192.168.1.108 (IP компьютера), Local Port - 21, Protocol - TCP, Protocol No. - пусто, Description - FTP.
Сохранил, перезагрузил. Но ничего не работает, то есть логов на Filezilla нет вообще, что означает, что вообще не пробивается сквозь роутер FTP запрос.
Что я сделал не так?
Кстати, FTP на роутере должен быть при этом выключен?

Покажите, что говорит команда


iptables-save

на роутере.

GUID
20-05-2010, 17:08
Посмотрите это (http://wl500g.info/showpost.php?p=183052&postcount=8), может быть поможет...

Hleb
20-05-2010, 20:23
Результат команды iptables-save:



# Generated by iptables-save v1.3.8 on Thu May 20 23:20:01 2010
*nat
:PREROUTING ACCEPT [8253894:10723589627]
:POSTROUTING ACCEPT [3407:874624]
:OUTPUT ACCEPT [3459:890650]
:VSERVER - [0:0]
-A PREROUTING -d 95.25.210.220 -j VSERVER
-A PREROUTING -d 10.161.10.152 -j VSERVER
-A POSTROUTING -s ! 95.25.210.220 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.161.10.152 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1
-A VSERVER -p udp -m udp --dport 50289 -j DNAT --to-destination 127.0.0.1:50289
-A VSERVER -p tcp -m tcp --dport 6881 -j DNAT --to-destination 127.0.0.1:6881
-A VSERVER -p udp -m udp --dport 45522 -j DNAT --to-destination 127.0.0.1:45522
-A VSERVER -p udp -m udp --dport 52383 -j DNAT --to-destination 127.0.0.1:52383
-A VSERVER -p udp -m udp --dport 47395 -j DNAT --to-destination 127.0.0.1:47395
-A VSERVER -p udp -m udp --dport 50628 -j DNAT --to-destination 127.0.0.1:50628
-A VSERVER -p udp -m udp --dport 50228 -j DNAT --to-destination 127.0.0.1:50228
-A VSERVER -p udp -m udp --dport 48355 -j DNAT --to-destination 127.0.0.1:48355
-A VSERVER -p udp -m udp --dport 45954 -j DNAT --to-destination 127.0.0.1:45954
-A VSERVER -p udp -m udp --dport 48657 -j DNAT --to-destination 127.0.0.1:48657
-A VSERVER -p udp -m udp --dport 52049 -j DNAT --to-destination 127.0.0.1:52049
-A VSERVER -p udp -m udp --dport 53106 -j DNAT --to-destination 127.0.0.1:53106
-A VSERVER -p udp -m udp --dport 49035 -j DNAT --to-destination 127.0.0.1:49035
-A VSERVER -p udp -m udp --dport 46872 -j DNAT --to-destination 127.0.0.1:46872
-A VSERVER -p udp -m udp --dport 46947 -j DNAT --to-destination 127.0.0.1:46947
-A VSERVER -p udp -m udp --dport 45057 -j DNAT --to-destination 127.0.0.1:45057
-A VSERVER -p udp -m udp --dport 54859 -j DNAT --to-destination 127.0.0.1:54859
-A VSERVER -p udp -m udp --dport 47154 -j DNAT --to-destination 127.0.0.1:47154
-A VSERVER -p udp -m udp --dport 50072 -j DNAT --to-destination 192.168.1.2:50072
-A VSERVER -p udp -m udp --dport 45045 -j DNAT --to-destination 127.0.0.1:45045
-A VSERVER -p udp -m udp --dport 48170 -j DNAT --to-destination 127.0.0.1:48170
-A VSERVER -p udp -m udp --dport 49517 -j DNAT --to-destination 127.0.0.1:49517
-A VSERVER -p udp -m udp --dport 47756 -j DNAT --to-destination 127.0.0.1:47756
-A VSERVER -p udp -m udp --dport 47422 -j DNAT --to-destination 127.0.0.1:47422
-A VSERVER -p udp -m udp --dport 45806 -j DNAT --to-destination 192.168.1.2:45806
-A VSERVER -p udp -m udp --dport 45912 -j DNAT --to-destination 192.168.1.2:45912
-A VSERVER -p udp -m udp --dport 52971 -j DNAT --to-destination 127.0.0.1:52971
-A VSERVER -p udp -m udp --dport 46084 -j DNAT --to-destination 127.0.0.1:46084
-A VSERVER -p udp -m udp --dport 46170 -j DNAT --to-destination 127.0.0.1:46170
-A VSERVER -p udp -m udp --dport 48495 -j DNAT --to-destination 127.0.0.1:48495
-A VSERVER -p udp -m udp --dport 53777 -j DNAT --to-destination 127.0.0.1:53777
-A VSERVER -p udp -m udp --dport 46643 -j DNAT --to-destination 127.0.0.1:46643
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.108:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.108:21
COMMIT
# Completed on Thu May 20 23:20:01 2010
# Generated by iptables-save v1.3.8 on Thu May 20 23:20:01 2010
*mangle
:PREROUTING ACCEPT [12301516:12440343557]
:INPUT ACCEPT [1855625:687072410]
:FORWARD ACCEPT [2498688:1051621068]
:OUTPUT ACCEPT [1768350:577108032]
:POSTROUTING ACCEPT [4316546:1638317322]
COMMIT
# Completed on Thu May 20 23:20:01 2010
# Generated by iptables-save v1.3.8 on Thu May 20 23:20:01 2010
*filter
:INPUT ACCEPT [550892:47512820]
:FORWARD ACCEPT [214614:12991747]
:OUTPUT ACCEPT [1768211:577070065]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu May 20 23:20:01 2010



FTP сервер выключен, Enable Virtual Server? - выставлено Yes.

Кстати, пробовал пробросить RDP через Virtual Server - удаленный стол работает, а вот что-то с FTP не выходит...

D_dmitry
20-05-2010, 20:33
нехватает
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

в пост фаервол надо вам прописать

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Hleb
20-05-2010, 20:58
Итак, в System Command прописал соотвтествующую команду, получилось:



# Generated by iptables-save v1.3.8 on Thu Jan 1 03:00:50 1970
*nat
:PREROUTING ACCEPT [11334:14853991]
:POSTROUTING ACCEPT [4:525]
:OUTPUT ACCEPT [4:525]
:VSERVER - [0:0]
-A PREROUTING -d 95.25.173.71 -j VSERVER
-A PREROUTING -d 10.161.10.152 -j VSERVER
-A POSTROUTING -s ! 95.25.173.71 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.161.10.152 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1
-A VSERVER -p udp -m udp --dport 50289 -j DNAT --to-destination 127.0.0.1:50289
-A VSERVER -p tcp -m tcp --dport 6881 -j DNAT --to-destination 127.0.0.1:6881
-A VSERVER -p udp -m udp --dport 45522 -j DNAT --to-destination 127.0.0.1:45522
-A VSERVER -p udp -m udp --dport 52383 -j DNAT --to-destination 127.0.0.1:52383
-A VSERVER -p udp -m udp --dport 47395 -j DNAT --to-destination 127.0.0.1:47395
-A VSERVER -p udp -m udp --dport 50628 -j DNAT --to-destination 127.0.0.1:50628
-A VSERVER -p udp -m udp --dport 50228 -j DNAT --to-destination 127.0.0.1:50228
-A VSERVER -p udp -m udp --dport 48355 -j DNAT --to-destination 127.0.0.1:48355
-A VSERVER -p udp -m udp --dport 45954 -j DNAT --to-destination 127.0.0.1:45954
-A VSERVER -p udp -m udp --dport 48657 -j DNAT --to-destination 127.0.0.1:48657
-A VSERVER -p udp -m udp --dport 52049 -j DNAT --to-destination 127.0.0.1:52049
-A VSERVER -p udp -m udp --dport 53106 -j DNAT --to-destination 127.0.0.1:53106
-A VSERVER -p udp -m udp --dport 49035 -j DNAT --to-destination 127.0.0.1:49035
-A VSERVER -p udp -m udp --dport 46872 -j DNAT --to-destination 127.0.0.1:46872
-A VSERVER -p udp -m udp --dport 46947 -j DNAT --to-destination 127.0.0.1:46947
-A VSERVER -p udp -m udp --dport 45057 -j DNAT --to-destination 127.0.0.1:45057
-A VSERVER -p udp -m udp --dport 54859 -j DNAT --to-destination 127.0.0.1:54859
-A VSERVER -p udp -m udp --dport 47154 -j DNAT --to-destination 127.0.0.1:47154
-A VSERVER -p udp -m udp --dport 50072 -j DNAT --to-destination 192.168.1.2:50072
-A VSERVER -p udp -m udp --dport 45045 -j DNAT --to-destination 127.0.0.1:45045
-A VSERVER -p udp -m udp --dport 48170 -j DNAT --to-destination 127.0.0.1:48170
-A VSERVER -p udp -m udp --dport 49517 -j DNAT --to-destination 127.0.0.1:49517
-A VSERVER -p udp -m udp --dport 47756 -j DNAT --to-destination 127.0.0.1:47756
-A VSERVER -p udp -m udp --dport 47422 -j DNAT --to-destination 127.0.0.1:47422
-A VSERVER -p udp -m udp --dport 45806 -j DNAT --to-destination 192.168.1.2:45806
-A VSERVER -p udp -m udp --dport 45912 -j DNAT --to-destination 192.168.1.2:45912
-A VSERVER -p udp -m udp --dport 52971 -j DNAT --to-destination 127.0.0.1:52971
-A VSERVER -p udp -m udp --dport 46084 -j DNAT --to-destination 127.0.0.1:46084
-A VSERVER -p udp -m udp --dport 46170 -j DNAT --to-destination 127.0.0.1:46170
-A VSERVER -p udp -m udp --dport 48495 -j DNAT --to-destination 127.0.0.1:48495
-A VSERVER -p udp -m udp --dport 53777 -j DNAT --to-destination 127.0.0.1:53777
-A VSERVER -p udp -m udp --dport 46643 -j DNAT --to-destination 127.0.0.1:46643
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.108:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.108:21
-A VSERVER -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.108:3389
COMMIT
# Completed on Thu Jan 1 03:00:50 1970
# Generated by iptables-save v1.3.8 on Thu Jan 1 03:00:50 1970
*mangle
:PREROUTING ACCEPT [13807:17028686]
:INPUT ACCEPT [858:99026]
:FORWARD ACCEPT [445:31768]
:OUTPUT ACCEPT [766:505899]
:POSTROUTING ACCEPT [1291:567135]
COMMIT
# Completed on Thu Jan 1 03:00:50 1970
# Generated by iptables-save v1.3.8 on Thu Jan 1 03:00:50 1970
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [104:5300]
:OUTPUT ACCEPT [574:330338]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu Jan 1 03:00:50 1970



После этого не заработал FTP, решил перерезагрузить роутер, но после этого, то что я прописывал не сохранилось!

TReX
20-05-2010, 21:45
Итак, в System Command прописал соотвтествующую команду, получилось:

После этого не заработал FTP, решил перерезагрузить роутер, но после этого, то что я прописывал не сохранилось!

A виндовый фаервол отключали? ))) Для нормальной работы ftp наружу достаточно только одного порта 21 TCP, плюс DynDNS для имени, плюс стоит проверить, выключен ли ftp встроенный в прошивку, если все же не пойдет, попробуйте на нестандартном номере порта, например 2121 (менять и на роутере и на сервере ) провайдер часто глушит стандартные порты

Power
20-05-2010, 22:14
Результат команды iptables-save:
...

FTP сервер выключен, Enable Virtual Server? - выставлено Yes.

Кстати, пробовал пробросить RDP через Virtual Server - удаленный стол работает, а вот что-то с FTP не выходит...

Судя по выводу, на роутере всё нормально настроено, значит, проблема где-то в другом месте.
Кстати, не слушайте такие (http://wl500g.info/showpost.php?p=198047&postcount=6) советы, цепочка INPUT не влияет на транзитные пакеты.

narmo
10-06-2010, 14:18
волнует тот же вопрос... хотелось бы разграничить права доступа к папкам на фтп сервере :confused:

theMIROn
10-06-2010, 16:54
права - private

lega4
15-06-2010, 08:11
Подскажите плз, как сделать thttpd доступным из ван по 80 порту...
Попробовал в post-firewall вставить (thttpd висит на 81) и в вебморде написал "80 192.168.1.1 81 TCP"
iptables -t nat -I PREROUTING 1 -p tcp -d ppp0 --dport 81 -j DNAT --to 192.168.1.1:81
iptables -t nat -D PREROUTING -i ppp0 -p tcp --dport 80 -j DROP
iptables -t nat -I PREROUTING 2 -i ppp0 -p tcp --dport 81 -j DROP
iptables -I INPUT 1 -i ppp0 -d 192.168.1.1 -p tcp --syn --dport 81 -j ACCEPT

iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 81 -j ACCEPT
iptables -A INPUT -j DROP
Все равно, пытаюсь зайти по 80 порту - толку 0... И из ВАН вообще никак не заходит - хоть 80, хоть 81(((

Power
16-06-2010, 00:00
Подскажите плз, как сделать thttpd доступным из ван по 80 порту...
Попробовал в post-firewall вставить (thttpd висит на 81) и в вебморде написал "80 192.168.1.1 81 TCP"
Все равно, пытаюсь зайти по 80 порту - толку 0... И из ВАН вообще никак не заходит - хоть 80, хоть 81(((

Если у вас через веб-морду проброшено "80 192.168.1.1 81 TCP", то достаточно


iptables -I INPUT 1 -d 192.168.1.1 -p tcp --dport 81 --syn -j ACCEPT

lega4
16-06-2010, 08:47
Если у вас через веб-морду проброшено "80 192.168.1.1 81 TCP", то достаточно
Стер, написал вашу строчку
iptables -I INPUT 1 -d 192.168.1.1 -p tcp --dport 81 --syn -j ACCEPT
Рубутнул, но все равно из внешки никак зайти не получается(((( Из локалки только по 81 заходит((
Мб в конфиге thttpd еще что-то написать надо? В логе thttpd пишет
Jun 16 11:33:32 thttpd[290]: bind 0.0.0.0 - Address already in use
Jun 16 11:33:32 thttpd[290]: thttpd/2.25b PHP/5.2.13 starting on port 81
Jun 16 11:33:32 thttpd[290]: started as root without requesting chroot(), warning only
Проброс порта в веб морде - port range - 80, local port - 81 - так, да?

Pablo Escobar
16-06-2010, 08:55
Стер, написал вашу строчку
iptables -I INPUT 1 -d 192.168.1.1 -p tcp --dport 81 --syn -j ACCEPT
Рубутнул, но все равно из внешки никак зайти не получается


flashfs save && flashfs commit && flashfs enable делали?

lega4
16-06-2010, 09:11
Естественно.

Power
16-06-2010, 17:56
Стер, написал вашу строчку
iptables -I INPUT 1 -d 192.168.1.1 -p tcp --dport 81 --syn -j ACCEPT
Рубутнул, но все равно из внешки никак зайти не получается(((( Из локалки только по 81 заходит((
Мб в конфиге thttpd еще что-то написать надо? В логе thttpd пишет
Проброс порта в веб морде - port range - 80, local port - 81 - так, да?

Тогда покажите, что говорят команды


iptables-save
ifconfig -a
netstat -an

lega4
17-06-2010, 03:16
ifconfig -a
br0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3401256 errors:0 dropped:0 overruns:0 frame:0
TX packets:2947142 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2951129911 (2.7 GiB) TX bytes:1844875120 (1.7 GiB)

eth0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6553295 errors:118 dropped:0 overruns:6 frame:6
TX packets:6344544 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:705334729 (672.6 MiB) TX bytes:629152780 (600.0 MiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:90:4C:C1:00:00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4225 errors:0 dropped:0 overruns:0 frame:288
TX packets:44803 errors:289 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5456622 (5.2 MiB) TX bytes:8904846 (8.4 MiB)
Interrupt:13 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:76 (76.0 B) TX bytes:76 (76.0 B)

ppp0 Link encap:Point-to-Point Protocol
inet addr:92.242.87.37 P-t-P:89.189.25.251 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:2184289 errors:0 dropped:0 overruns:0 frame:0
TX packets:1659063 errors:0 dropped:1 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1763187823 (1.6 GiB) TX bytes:380775050 (363.1 MiB)

sit0 Link encap:IPv6-in-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vlan0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3397030 errors:0 dropped:0 overruns:0 frame:0
TX packets:2944914 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2959320593 (2.7 GiB) TX bytes:1856479168 (1.7 GiB)

vlan2 Link encap:Ethernet HWaddr 00:1B:11:37:C9:24
inet addr:10.23.18.33 Bcast:10.23.19.255 Mask:255.255.252.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3156265 errors:0 dropped:0 overruns:0 frame:0
TX packets:3399630 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1923022122 (1.7 GiB) TX bytes:3067640908 (2.8 GiB)

netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:9100 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5431 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3838 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.1:5431 192.168.1.3:49683 TIME_WAIT
tcp 0 0 10.23.18.33:1032 172.18.224.4:1723 ESTABLISHED
tcp 0 0 192.168.1.1:5431 192.168.1.3:49712 TIME_WAIT
tcp 0 0 :::81 :::* LISTEN
tcp 0 0 :::53 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 :::23 :::* LISTEN
tcp 0 52 ::ffff:192.168.1.1:22 ::ffff:192.168.1.3:49470 ESTABLISHED
udp 0 0 0.0.0.0:53 0.0.0.0:*
udp 0 0 0.0.0.0:67 0.0.0.0:*
udp 0 0 0.0.0.0:1900 0.0.0.0:*
udp 0 0 :::53 :::*
raw 108384 0 0.0.0.0:2 0.0.0.0:* 2
raw 0 0 0.0.0.0:2 0.0.0.0:* 2
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 17664 /var/run/pptp/172.18.224.4:2
unix 7 [ ] DGRAM 265 /dev/log
unix 3 [ ] STREAM CONNECTED 17668 /var/run/pptp/172.18.224.4:2
unix 3 [ ] STREAM CONNECTED 17662
unix 2 [ ] DGRAM 17642
unix 2 [ ] DGRAM 2078
unix 2 [ ] DGRAM 884
unix 2 [ ] DGRAM 473
unix 2 [ ] DGRAM 468

Power
17-06-2010, 13:42
<...>


Смотрите, у вас 80 порт проброшен на какой-то комп (возможно, с помощью UPnP):


-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.4:3558

lega4
18-06-2010, 12:38
Спасибо! Кое-как в винде доковырялся до настроек, оттуда это снес. Теперь все круто, и с внешки заходит, и по 80 порту! Спасибо!

P.S. Еще вопрос по thttpd, но не связанный с портами))) - http://www.wl500g.info/showthread.php?p=201790#post201790

freez0
21-06-2010, 14:40
Помогите пожалуйста настроить доступ к моим локальным ресурсам (sawanna, ftp) из wan. В локальной сети все нормально работает (my.router, my.router/ftp). Пробовал КИС, файервол на роутере отключать - но все равно не работает. Может маршруты какие нужно прописать?

Pablo Escobar
21-06-2010, 16:29
Помогите пожалуйста настроить доступ к моим локальным ресурсам (sawanna, ftp) из wan. В локальной сети все нормально работает (my.router, my.router/ftp). Пробовал КИС, файервол на роутере отключать - но все равно не работает. Может маршруты какие нужно прописать?
http://tinyurl.com/2cykarc

freez0
21-06-2010, 18:42
http://tinyurl.com/2cykarc
:D коры, классная вещь!
Может она ещё и фильтровать ответы может, ну чтоб ваще не искать??))

ccviax
01-07-2010, 16:12
Всем добрый день!
подскажите, пожалуйста, есть скрипт на роутере, который прекрасно работает, когда запускаешь его вручную. Скрипт правильно распределяет порты между принтерами. Называется detect_printer, находится в /usr/local/sbin/
Как сделать так, чтобы он автоматически запускался каждый раз после перезагрузки роутера?
если можно пошаговую инструкцию.
Заранее спасибо!

Pablo Escobar
01-07-2010, 16:45
я бы добавил его в /opt/etc/init.d - если он сервис.
или прямо в /usr/local/sbin/post-mount
:)

ccviax
01-07-2010, 17:26
я бы добавил его в /opt/etc/init.d - если он сервис.
или прямо в /usr/local/sbin/post-mount
:)

Спасибо. попробуем!

Power
02-07-2010, 11:09
я бы добавил его в /opt/etc/init.d - если он сервис.
или прямо в /usr/local/sbin/post-mount
:)

А почему вы думаете, что у топикстартера к роутеру подключены внешние носители?
Если уж надо именно при загрузке, то прописывать в /usr/local/sbin/post-boot

ccviax
02-07-2010, 17:36
А почему вы думаете, что у топикстартера к роутеру подключены внешние носители?
Если уж надо именно при загрузке, то прописывать в /usr/local/sbin/post-boot

самое интересное, что запуск detect_printer в post-boot прописан, но он почему-то не запускается :-(

выглядит post-boot следующим образом:
#!/bin/sh
insmod usbserial vendor=0x19d2 product=0xfffe maxSize=4096
sleep 10
pppd call dialup
sleep 30
detect_printer

первая часть, которая в post-boot работает прекрасно - 3g модем летаемт :-) а detect_printer что-то никак

valerakvb
02-07-2010, 18:15
Всем добрый день!
подскажите, пожалуйста, есть скрипт на роутере, который прекрасно работает, когда запускаешь его вручную. Скрипт правильно распределяет порты между принтерами. Называется detect_printer, находится в /usr/local/sbin/
Как сделать так, чтобы он автоматически запускался каждый раз после перезагрузки роутера?
если можно пошаговую инструкцию.
Заранее спасибо!

А можно еще и так (http://wl500g.info/showthread.php?p=202333#post202333) автоматом при загрузке роутера - в WEB морде ASUS прописываем в USB Application -> FTP Server -> Initial Script: ваш_скрипт

Power
02-07-2010, 23:37
самое интересное, что запуск detect_printer в post-boot прописан, но он почему-то не запускается :-(

выглядит post-boot следующим образом:
#!/bin/sh
insmod usbserial vendor=0x19d2 product=0xfffe maxSize=4096
sleep 10
pppd call dialup
sleep 30
detect_printer

первая часть, которая в post-boot работает прекрасно - 3g модем летаемт :-) а detect_printer что-то никак

А вы уверены, что он не запускается? Может, он запускается, но ему чего-то не хватает, например окружения? Добавьте ему в начало стандартное


logger -t "`basename "$0"`" "started"

и посмотрите, появится ли запись в логе.

michaelV
04-07-2010, 15:07
В свое время приобрел WL500gP, перепрошил на альтернативную прошивку, все работает как часы, чему несказано рад.

Пару дней назад для знакомого приобрел WL500gPv2, у него нагрузка будет поменьше моей, поэтому не стал заморачиваться в поиске Premium Version 1.

Теперь суть проблемы.
Мне нужно открыть для доступа извне доступ к локальному FTP. На форуме несколько сот страниц написано как сделать это "красиво".
Помнится по WL500gP, все было просто: прописываешь нужное правило в файле post-firewall.

пример:

# set default policy and remove last default rule
iptables -P INPUT DROP

# mapping to FTP-SERVER (passive & active)
iptables -t nat -A VSERVER --dst 195.195.195.195 -p tcp --dport 20 -j DNAT --to-destination 192.168.1.10:20

iptables -t nat -A VSERVER --dst 195.195.195.195 -p tcp --dport 21 -j DNAT --to-destination 192.168.1.10:21

Проверяю, все замечательно видно снаружи и FTP доступно.

Теперь начинаю проделывать подобную процедуру с WL500gP ver.2, но
невозможно достучаться снаружи до FTP:20-21, хотя как в первом примере, так и во втором, в web-интерфейсе в закладке "Status & Log - Port Forwarding" вижу:


195.195.195.195 TCP 21 192.168.1.10 21
195.195.195.195 TCP 20 192.168.1.10 20


195.195.195.195 - допустим WAN IP роутера. Для эксперимерта пробовал --dst 0.0.0.0 выставлять, не помогло.

Напротив, если добавить подобное правило через web-интерфейс закладка NAT-setting - Virtual Server, начинает все работать на урааа..

Товарищи-профессионалы, подскажите куда копать?

Power
04-07-2010, 18:47
Во-первых, чем вас не устраивает способ с Virtual Server, зачем лезть в post-firewall?
Во-вторых, возможно, на том gpv2 уже есть перенаправление для этих портов (ручное или через UPnP), вот и не работает.

theMIROn
04-07-2010, 18:59
плюсом нужно еще и вручную разрешить транзитные пакеты на порты 20/21 в файрволе, либо разрешить все
hint: FORWARD

michaelV
09-07-2010, 22:21
простите за "неправильный" вопрос, а где можно разрешить подобную транзакцию?

michaelV
10-07-2010, 22:45
Спасибо всем большое за намеки.
Углубленное изучение философии iptables, привело меня к правильным ответам.

YAHOR_1
30-07-2010, 18:48
Уважаемые знатоки помогите. есть винт на 1 тб, разбит на 2 раздела. Первый ex3 100 gb для закачи торента, второй 900 gb ntfs для хранения постоянной инфы. все хорошо торенты качаються, по стандартному фтп заходит и видит 1 раздел. подскажите или ткните носом где почитать, как сделать фтп для второго раздела?

LnrMn
30-07-2010, 19:25
Уважаемые знатоки помогите. есть винт на 1 тб, разбит на 2 раздела. Первый ex3 100 gb для закачи торента, второй 900 gb ntfs для хранения постоянной инфы. все хорошо торенты качаються, по стандартному фтп заходит и видит 1 раздел. подскажите или ткните носом где почитать, как сделать фтп для второго раздела?

С NTFS у Вас могут быть проблемы...

Решается ссылками и папками. Т.е. надо создать ссылку (в первом разделе), как папку, на второй раздел.
Или примонтировать второй раздел в, заранее приготовленную, папку первого раздела.

YAHOR_1
30-07-2010, 20:14
С NTFS у Вас могут быть проблемы...

Решается ссылками и папками. Т.е. надо создать ссылку (в первом разделе), как папку, на второй раздел.
Или примонтировать второй раздел в, заранее приготовленную, папку первого раздела.
ок значит меняем ntfs на fat32 если не трудно подскажите вид ссылки если второй раздел определяеться как /dev/scsi/host0/bus0/target0/lun0/part2

LnrMn
31-07-2010, 08:04
ок значит меняем ntfs на fat32 если не трудно подскажите вид ссылки если второй раздел определяеться как /dev/scsi/host0/bus0/target0/lun0/part2

Сделайте в первом разделе папку "part_2"
затем

mount /dev/scsi/host0/bus0/target0/lun0/part2 /part_2

PS: по хорошему второй раздел надо бы тоже ext3, если Вы винт таскать не собираетесь.

Parkinstein
31-07-2010, 08:22
ок значит меняем ntfs на fat32 если не трудно подскажите вид ссылки если второй раздел определяеться как /dev/scsi/host0/bus0/target0/lun0/part2


PS: по хорошему второй раздел надо бы тоже ext3, если Вы винт таскать не собираетесь.

полностью поддерживаю уважаемого гуру, к тому же на FAT32 не получится создать\записать файл размерм больше 4ГБ минус 1 байт...

YAHOR_1
01-08-2010, 18:39
Сделайте в первом разделе папку "part_2"
затем

mount /dev/scsi/host0/bus0/target0/lun0/part2 /part_2

PS: по хорошему второй раздел надо бы тоже ext3, если Вы винт таскать не собираетесь.

огромное спасибо помогло


mount /dev/scsi/host0/bus0/target0/lun0/part2 /tmp/harddisk/info команду опытным путем подобрал но при ребуте wl приходиться монтировать по новому если способ приматнтировать навсегда
да винт придеться иногда насить так что второй раздел нужен в виндовом формате

cherep84
12-08-2010, 11:54
Доброго времени суток.
Ситуация следующая - планирую запустить сайт с контентом типа картинки, видео, документация. Посещаемость сайта неизвестна, ибо его еще нет, да и думаю особо сильной не будет, но стремиться надо к бесконечности посетителей в секунду))).
Так вот вопрос - какой набег пользователей смогет адекватно обслуживать роутер с хардом, или вообще не стоит так заморачиваться, а юзать всякие шаринги в инете, типа депозита, 4шарида и т.п.
Если все таки железка способна взять на себя такую ответственность, то подскажите через какой протокол организовывать сие деяние лучше? ftp? http? или может что еще придумано, в принципе может есть смысл через торренты замутить? в наше время наверно уже почти у всех есть клиенты для торов, просто у всех они залочены на работах.....

ЗЫ Модерам приношу извинения за, может быть не в кассу, созданную новую тему, но честно говоря даже не знаю в какую группу вопросов отнести сей вопрос, ибо во всяких веб-дизайнах я человек новый.... И с понятиями по сайтостроительству еще не особо ознакомился....

Заранее спасибо, Жду всяческих рекомендаций...

Parkinstein
14-08-2010, 22:38
Доброго времени суток.
Ситуация следующая - планирую запустить сайт с контентом типа картинки, видео, документация. Посещаемость сайта неизвестна, ибо его еще нет, да и думаю особо сильной не будет, но стремиться надо к бесконечности посетителей в секунду))).
Так вот вопрос - какой набег пользователей смогет адекватно обслуживать роутер с хардом, или вообще не стоит так заморачиваться, а юзать всякие шаринги в инете, типа депозита, 4шарида и т.п.
Если все таки железка способна взять на себя такую ответственность, то подскажите через какой протокол организовывать сие деяние лучше? ftp? http? или может что еще придумано, в принципе может есть смысл через торренты замутить? в наше время наверно уже почти у всех есть клиенты для торов, просто у всех они залочены на работах.....

ЗЫ Модерам приношу извинения за, может быть не в кассу, созданную новую тему, но честно говоря даже не знаю в какую группу вопросов отнести сей вопрос, ибо во всяких веб-дизайнах я человек новый.... И с понятиями по сайтостроительству еще не особо ознакомился....

Заранее спасибо, Жду всяческих рекомендаций...

рекомендация одна... не парить мозг роутеру и окружающим и поискать хорошего хостера...

cherep84
15-08-2010, 20:58
рекомендация одна... не парить мозг роутеру и окружающим и поискать хорошего хостера...
Ожидаемый в принципе ответ... Для собственного успокоения не мог не спросить.
Спасибо.

WM_Maks
01-10-2010, 20:08
Всем здравствуйте!
Есть вопрос на который мне могут ответить только здесь! У меня Asus WL520GU, на нём стоит прошивка от Олега. Подключен HDD на 80Gb(просто мне больше и не надо :) ) Сделано всё было ради FTP. Всё чётко работает, есть доступ к FTP из инета, всё чётко и без проблем. За исключением одной маленькой, но очень не приятной проблемы.. Когда в локальной сети есть компьютер всё работает, а вот если компьютер выключается, то доступ из инета через некоторе время пропадает. Idle Timeout in Seconds: 0 - no timeout. Пожалуйста объясните как мне избавиться от этого бага :( .

LnrMn
01-10-2010, 20:29
Всем здравствуйте!
Есть вопрос на который мне могут ответить только здесь! У меня Asus WL520GU, на нём стоит прошивка от Олега. Подключен HDD на 80Gb(просто мне больше и не надо :) ) Сделано всё было ради FTP. Всё чётко работает, есть доступ к FTP из инета, всё чётко и без проблем. За исключением одной маленькой, но очень не приятной проблемы.. Когда в локальной сети есть компьютер всё работает, а вот если компьютер выключается, то доступ из инета через некоторе время пропадает. Idle Timeout in Seconds: 0 - no timeout. Пожалуйста объясните как мне избавиться от этого бага :( .

Странное явление... Настройки в студию.

Dj Spirit
14-10-2010, 19:37
Здравствуйте уважаемые спецы ,помогите решить проблему! Все было нормально ,Ftp работал и тут я забыл пароль для входа на роутер:) Мне админ все настраивал ,решил полный ресет сделать все работает инет торренты,Wi Fi ,вот Ftp Server отказывается запускатся нивкакую итак
Сеть 100 Mbit,Inet DHSP,Реальный IP ,те инет автоматически работает ,помогтте Роутер настроить чтоб Ftp на реальнике таки заработал ,повторяю ВСЕ ПОРТЫ НА РОУТЕРЕ ЗАКРЫТЫ!!!!! Очень срочно! Ip если че дам отвечайте в личку:confused:.

nekr0z
15-10-2010, 22:14
Только что наткнулся на эту же проблему. Роутер, преобразуя запросы для PASV, иногда оставляет порты теми, какие попросил сервер (тогда транзакция проходит), но чаще меняет (и тогда транзакция накрывается медным ведром). Куда бы покопаться?

anstrem
23-10-2010, 19:23
Только что мучался с такой же проблемой при доступе в инет через ASUS WL500g.Premium, прошивка Олега 1.9.2.7-10, провайдер Билайн (Corbina).
Решилось простейшим образом - отключил в FTP клиенте PASV и все заработало как часики.

_rg
29-10-2010, 12:12
Micro-HowTo (вроде бы такого нет)
Задача: изменить порт ftp-сервера на произвольный и разрешить доступ к нему из wan.
В случае, если мы используем встроенный ftp-сервер, то все быстро и непринужденно настраивается из веб-интерфейса.
Если же мы устанавливали ftp-сервер отдельно, то все немного интереснее...
Рассматриваем на примере vsftpd, который заставим работать на порту 33321.

(1) В конфиге сервера (vsftpd.conf) прописываем порт, который он будет слушать:

listen_port=33321

В post-firewall пишем:

#1
rmmod ip_conntrack_ftp
rmmod ip_nat_ftp

#2
insmod ip_conntrack_ftp ports=21,33321
insmod ip_nat_ftp ports=21,33321

#3
iptables -A INPUT -p tcp --dport 33321 -j ACCEPT
где: 1 - выгружаем указанные модули; 2 - загружаем их с необходимыми параметрами; 3 - открываем доступ

Не забываем сохраниться...
flashfs save && flashfs commit && flashfs enable && reboot

сделал все по вашей инструкции:

[@WL-485B3967E1E8 root]$ cat /usr/local/sbin/post-firewall
#!/bin/sh
rmmod ip_conntrack_ftp
rmmod ip_nat_ftp
insmod ip_conntrack_ftp ports=21,53332
insmod ip_nat_ftp ports=21,53332
iptables -A INPUT -p tcp --dport 53332 -j ACCEPT


в логе файрволла пакеты все равно dropped

Oct 29 14:06:06 kernel: DROP IN=vlan1 OUT= MAC=48:5b:38:65:e1:e8:00:1d:7e:60:bc:31:08:00:45:0 0:00:30 SRC=83.83.247.196 DST=192.168.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=14781 DF PROTO=TCP SPT=4046 DPT=53332 SEQ=3277553431 ACK=0 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

где еще глянуть?

GUID
29-10-2010, 12:22
в логе файрволла пакеты все равно dropped

Oct 29 14:06:06 kernel: DROP IN=vlan1 OUT= MAC=48:5b:38:65:e1:e8:00:1d:7e:60:bc:31:08:00:45:0 0:00:30 SRC=83.83.247.196 DST=192.168.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=14781 DF PROTO=TCP SPT=4046 DPT=53332 SEQ=3277553431 ACK=0 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

к сожалению ничего дельного по настройке firewall-а подсказать не могу. Единственное, что настораживает - это "DST=192.168.1.1". В моем случае фтп был запущен на роуторе, поэтому ip "назначения" не должен быть "частным" (imho).
+ МАС какой-то длинный...

tempik
29-10-2010, 17:50
где еще глянуть?

У меня работает так

cat /usr/local/sbin/post-firewall
#!/bin/sh

# port FTP
rmmod nf_nat_ftp
rmmod nf_conntrack_ftp
insmod nf_conntrack_ftp ports=22222
insmod nf_nat_ftp

iptables -I INPUT -p tcp -m tcp --dport 22222 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
Продолжение файла обрезано т.к. не имеет отношения к данному вопросу не имеет ...
На клиенте ставим "пасивный режим"

capau
15-11-2010, 23:07
роутер wl500gpv2 к которому подключен диск на 80Гб
хотелось бы получить ftp сервер видимый снаружи
и web-сервер
пробовал устанавливать "скрипт для чайников", но там очень много лишнего что нагружает роутер и чем я не пользуюсь
может кто с такими же задачами уже настраивал свой роутер?