Троицк.ОРГ - приятного аппетита!
Дай отдых глазам. Оторвись от компа
neozombie

Posts: 68
good1 bad1
#1 прямая ссылка Вопрос firewall 31 мая 2006, 16:31
Не пойму как сделать правило для закачки файла с фтп по хттп.
там что нужно все порты тисипи открывать?
 
reklamkin
Posts: 5978
neozombie
#2 прямая ссылка удалено пользователем 11 июня 2006, 00:12
Boger

Posts: 639
good16
#3 прямая ссылка 11 июня 2006, 01:07
Какая операционка? и что за фаервол?
--
The last 10 years of Internet usage has disproven the theory that a million monkeys typing on a million typewriters would eventually produce the complete works of Shakespere.  ... or maybe it only works for typewriters...... or maybe it only works
 
neozombie

Posts: 68
good1 bad1
#4 прямая ссылка 11 июня 2006, 03:33
Операционка вин2к сп4,ие6 сп1,керио пф 4.0.13.
Но я уже нашел одну свою ошибку-закачка браузером файла через мюзик.г0в.ру в итоге идет по фтп.
Судя по всему в пассивном режиме,хотя это запрещено в настройках. Может из-за этого исходящие запросы идут по случайному порту? Подскажите с этим нужно смириться или можно как-то обойти?
 
гость KolianMcRae
#5 прямая ссылка 18 июня 2006, 14:28
2 michles:
А ты не путай протокол FTP c HTTP!
 
neozombie

Posts: 68
good1 bad1
#6 прямая ссылка 19 июня 2006, 03:12
2KolianMcRae
Путай,не путай-вопрос не в том. В данном случае фтп или хттп рассматриваются лишь как порты, которые используются для обмена данными по протоколу tcp. Вопрос в том, что здесь было-бы удобно пользоваться браузером, но не получается из-за необходимости открывать все порты (а не только 20,21,80).
 
Sim
Posts: 6388
good1
#7 прямая ссылка 19 июня 2006, 21:17
Надо открыть 20 и 21 порты для работы с ФТП
80 для работы с ХТТП
Но это на удаленной. Локально - могут быть открыты любые.
--
Kent
 
neozombie

Posts: 68
good1 bad1
#8 прямая ссылка 20 июня 2006, 02:24
2Дже
В том-то и дело,что речь идет об удаленке.Вот протокол генеримый файрволом при попытке загрузки 4 файлов браузером через мюзик.г0в.ру:

action = 'permitted', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1181, rport = 21, direc = 'out'
action = 'denied', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1182, rport = 57254, direc = 'out'
action = 'permitted', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1183, rport = 21, direc = 'out'
action = 'denied', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1184, rport = 39741, direc = 'out'
action = 'permitted', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1185, rport = 21, direc = 'out'
action = 'denied', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1186, rport = 48540, direc = 'out'
action = 'permitted', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1187, rport = 21, direc = 'out'
action = 'denied', descr = 'Internet Explorer', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 1188, rport = 41700, direc = 'out'

удаленный порт выбирается случайно.
 
Sim
Posts: 6388
good1
#9 прямая ссылка 20 июня 2006, 11:34
Скачай Тотал Коммандер для ФТП или Еедонкеем пользуйся. ИЕ плохо работает с ФТП.
--
Kent
 
savely

Posts: 16815
good214 bad15
#10 прямая ссылка 20 июня 2006, 21:21
Или плагин к FAR, ежели любитель...
--
А кому счас легко?!
 
o
Posts: 7178
good217 bad50
#11 прямая ссылка 20 июня 2006, 23:17
Ёо, пипл, вы что, стебаетесь над бедным лузером? А ведь у michles очень неплохая подборка исполнителей. Мне, конечно, самому в облом проводить краткий курс молодого интернет-бойца, но зачем человека мучать.

michles, не обижайся на лузера, но в данном случае ты ведешь себя как натуральный чайник, который слышал звон, да не знает где он. По пунктам:
1. ты работаешь в активной моде фтп - по твоему логу видно.
2. Это и есть твоя проблема - либо твой файер не умеет понимать протокол фтп, либо эта опция у него не включена.
3. Поставь нормальную качалку для фтп - не пожалеешь. Эксплорер не умеет докачивать файлы, а коннект в ТТК рвется регулярно.
4. Поставь пассивную моду для фтп в качалке.
5. Разреши в файере исходяший коннект с любого порта на удаленные порты любого хоста 20,21,80. На DNS порт ТТК неймсервера и smtp и pop3 порты mail.ttk.ru с любого своего порта. Если пользуешься миркой, то Дже лучше объяснит, что добавить надо. Для игрушек сетевых может что-то понадобиться. Тут я - не спец. Всё остальное запрети. Если файер умеет разрешать для отдельных программ. то поставь ограничения на программы, только помни, что IE и Оутглюк - большие дыры, используй что-нибудь другое.
6. Теперь пробуй качать файлы.
--
En somme c'est ca:
Pour plaire aux jaloux
Il faut etre ignoree
Mais la, mais la, mais la, pour le coup
C'est Dieu qui m'a plante, alors?...
 
neozombie

Posts: 68
good1 bad1
#12 прямая ссылка 22 июня 2006, 01:10
Да досадно-из одной крайности в другую. Я же не писал,что не могу скачать ни одного файла ни одной программой-это не проблема. Вопрос был в более таком познавательном плане - что за хня там происходит?
Я не жалею, что пришлось разобраться самому.
2akm:Я что-то не понял "бедный лузер"-это кто?Тот у кого нет дворца на рублевке? А у тебя есть? Но мы здесь вроде не об этом.

Далее "по пунктам":

akm: 1. ты работаешь в активной моде фтп - по твоему логу видно.

Включаю активный мод-явно-в Тотал Коммандер и качаю несколько файлов.

action = 'permitted', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2695, rport = 21, direc = 'out'
action = 'permitted', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2696, rport = 20, direc = 'in'
action = 'permitted', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2697, rport = 20, direc = 'in'
action = 'permitted', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2698, rport = 20, direc = 'in'
action = 'permitted', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2699, rport = 20, direc = 'in'

Лог выглядит совершенно по-другому.

akm: 2. Это и есть твоя проблема - либо твой файер не умеет понимать протокол фтп, либо эта опция у него не включена.

По логу видно-проблем никаких нет.

akm: 3. Поставь нормальную качалку для фтп - не пожалеешь. Эксплорер не умеет докачивать файлы, а коннект в ТТК рвется регулярно.

О качалке фтп чуть позже...

akm: 4. Поставь пассивную моду для фтп в качалке.

Включаю пассивный мод-явно-в Тотал Коммандер и качаю несколько файлов.

action = 'permitted', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2718, rport = 21, direc = 'out'
action = 'denied', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2719, rport = 41686, direc = 'out'
action = 'denied', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2719, rport = 41686, direc = 'out'
action = 'permitted', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2724, rport = 21, direc = 'out'
action = 'denied', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2725, rport = 11895, direc = 'out'
action = 'denied', descr = 'Тотал Коммандер', proto = TCP, laddr = 0.0.0.0, raddr = 82.138.28.200, lport = 2725, rport = 11895, direc = 'out'

Результат удручающий и полность аналогичный показанному выше для IE. Но что это, ВЕЛИКИЙ ГУРУ ошибся? Что-то там было про "звон".

akm: 5. Разреши в файере исходяший коннект с любого порта на удаленные порты любого хоста 20,21,80. ......

Вообще читать неохота...

akm: 6. Теперь пробуй качать файлы.

Теперь можно? Вот спасибо.
Теперь о качалке. Кто нибудь пробовал,уважаемые,зайти качалкой фтп на сайт мюзик.г0в.ру и выполнить там поиск командой "искать"? Ведь этот сервис создан для браузера, но только последний шаг-закачка-проваливается.
Отсюда и возник вопрос, но никакого драматизма. На мой взгляд дилетанта создатели этого сервиса могли бы заменить закачку по фтп на закачку по хттп,инкапсулировав первый во второй или еще как-нибудь. Видимо это недостаточно легко поскольку не сделано.
 
neozombie

Posts: 68
good1 bad1
#13 прямая ссылка 22 июня 2006, 01:14
PS
Оригинальное название программы Тотал Коммандер пришлось подменить на кириллицу из-за параноидальных настроек форума.
 
o
Posts: 7178
good217 bad50
#14 прямая ссылка 22 июня 2006, 01:30
Прости, у тебя проблемы с вежливостью, а также с включи/выключи - у тебя все работает в пассивном режиме и блокируется файером в активном. Учи мат.часть, заодно и поймешь почему нельзя инкапсулировать фтп в хттр или ещё как-нибудь.

ЗЫ бедный лузер означало, что человек прикидывается знающим, но человек, вроде, приличный, помогу, жаль бедняжку.
--
En somme c'est ca:
Pour plaire aux jaloux
Il faut etre ignoree
Mais la, mais la, mais la, pour le coup
C'est Dieu qui m'a plante, alors?...
 
neozombie

Posts: 68
good1 bad1
#15 прямая ссылка 22 июня 2006, 02:37
2akm
Хорошо, не постесняюсь извиниться за бестактность. Что же касается фактической стороны-вот выдержка из простенького хелпа:

Use passive mode for transfers (like a WWW browser)
Each file transfer (upload or download) needs an additional connection for the data stream. Normally (in active mode), the server establishes this connection. In passive mode, however, the client establishes the connection. This may be necessary through some firewalls, which do not allow connections from outside.
 
o
Posts: 7178
good217 bad50
#16 прямая ссылка 22 июня 2006, 03:22
Обиды забыли.

Хелп пишет абсолютно правильно, похоже, что ты не понял, что означает устанавливать соединение. Просто опишу работу фтп в разных режимах, станет понятно.

В самом начале (конец 70х годов прошлого века) слово firewall знали только пожарники, а протоколы и программы для юникса писали студенты в Беркли, и каждый извращался как мог. Для фтп была придумана абсолютно тупая фигня, которая понятия клиент и сервер превращала в омлет. Сейчас это называется активной модой. Порядок действий:

Сервер начинает работать и делает listen по 21 порту. Он только открывает порт на прием соединений и уходит в ожидание.

Клиент делает connect на 21 порт сервера и, тем самым, устанавливает соединение. TCP соединение описывается 4 цифрами (IPlocal;PORTlocal;IPremote;PORTremote).

Сервер на соединение говорит всякую фигню, которую клиент печатает на экран в качестве приветствия.

Дальше распоряжается клиент, выдавая пару десятков команд (поэтому хттр не может вставить внутрь себя фтп, они перпендикулярны по командам).

В конце концов клиент находит нужный файл и выдает команду GET filename

Сервер не выдает клиенту файл, как следовало бы ожидать, а отвечает клиенту PORT number

Теперь клиент должен открыть указанный сервером порт и ждать соединения.

Сервер устанавливает соединение с клиентом! Именно поэтому режим называется активным. Правила изменились - клиент ждет а сервер соединяется. Должно быть ровно наоборот.

По установленному соединению сервер начинает слать файл, а клиент его принимает. По окончании сервер разрывает это соединение и ждет комманд по управляющему каналу.

С развитием инета из-за этой фигни стало грустно. Появились фаерволы, которые считали, что только клиент может устанавливать соединения, но никак не сервер. И фтп перестал работать через файервол. Сели умные люди, подумали и немножко расширили протокол. Они ввели пассивную моду. В пассивной моде всё почти также, только небольшое изменение.

Когда клиент говорит GET, он открывает сокет, узнает, какой у сокета порт, и потом говорит серверу PORT number.

После чего клиент устанавливает соединение с этого порта на порт 20 сервера, т.е. сервер всё время ждет - пассивный он.

Получив соединение сервер узнает с какого IP и порта пришло соединение. По внутренней табличке он узнает что хотел получить этот клиент по этому порту и выдает ему файло. По окончании передачи сервер соединение разрывает.

Вот. а теперь сравни свои логи с описанными режимами.

Всё - спать.
--
En somme c'est ca:
Pour plaire aux jaloux
Il faut etre ignoree
Mais la, mais la, mais la, pour le coup
C'est Dieu qui m'a plante, alors?...
 
Konoko

Posts: 3069
good106 bad4
#17 прямая ссылка 22 июня 2006, 13:36
2akm
А в каком из режимов сервер пользуется диапозоном портов? (просто для самопознания).

--
Я такой же осел как и вы, сэр!
 
neozombie

Posts: 68
good1 bad1
#18 прямая ссылка 23 июня 2006, 02:58
С таким исчерпывающим изложением не поспоришь и всё же. Поскольку хелп пишет правильно осмелюсь вернуться к нему в переводе просто для слитности текста. Претензии к переводу принимаются.
"Для передачи каждого файла (не важно туда или сюда) необходимо установить дополнительное соединение для перемещения данных. Обычно сервер устанавливает такое соединение (это активный мод)."
Вот здесь стоп. По отношению к клиенту сервер устанавливает входящее соединение. Ищу строки лога, содержащие direc='in' и нахожу их в первом варианте. Это активный мод. Дальше.
"Однако в пассивном моде клиент устанавливает такое соединение. Пассивный мод требуется для работы через брандмауэры, которые запрещают соединения извне".
Во втором варианте соединения всегда только исходящие. Это пассивный мод. Ровно всё также написано у akm, значит его текст противоречит его прежним высказываниям. Не вижу смысла копаться в том, какими командами и номерами портов обмениваются клиент и сервер-итак всё ясно.
2akm Насчет проблем с включи/выключи.
"Use passive mode for transfers (like a WWW browser)" и рядом галочка.
Как говорит Винни-Пух (хотя у него в голове и опилки): тут нельзя ошибиться! Галочка либо есть (пассивный мод), либо её нет совсем (активный мод).
Так что несмотря на фундаментальность последнего поста остаюсь при своем мнении.
'Редактировано michles '
 
Новые посты под гостем приостановлены из за спаммеров. Пожалуйста, зарегистрируйтесь. Сообщение не будет добавлено.
новое сообщение
Сообщение:
Провокационные, неуважительные и злобные сообщения будут удалены! Злостные нарушители - забанены! Тут форум добра!