Somente não é possível acessar o servidor FTP da sub-rede externa (erro 425)

1

Plano de fundo / estrutura de rede

São duas camadas de roteadores. O roteador na camada externa tem Internet pública IP 123.123.123.123 (falso como exemplo) e IP privado 192.168.0.1 . O roteador na camada interna, que também é um cliente do roteador externo, tem o IP público 192.168.0.2 e o IP privado 192.168.1.1 . Um computador do Windows 7 Enterprise com o FileZilla Server é um cliente do roteador interno com IP 192.168.1.48 . Todos os IPs são estáticos.

Eu tenho usado o Windows Remote Desktop do outro lado da Internet, conectando-me à máquina Win7 por meses. Então, acho que minhas regras de encaminhamento de porta nos dois roteadores estão corretas.

Do outro lado da Internet, a conexão FTP também está bem. Eu já tenho

  1. Defina a porta FTP do FileZilla Server para 21
  2. Defina o FTP implícito do FileZilla Server pela porta TLS para 990
  3. Defina o intervalo de portas personalizadas do modo passivo do servidor FileZilla para 1024-65534
  4. Permitiu essas portas nas Regras de entrada do Firewall do Windows
  5. Encaminhar essas portas (TCP) para IP 192.168.1.48 no roteador interno
  6. Encaminharam essas portas (TCP) para IP 192.168.0.2 no roteador externo

Definir ...

Existem três localizações de rede:

  1. Internet, em algum lugar da Internet.
  2. Sub-rede externa, como cliente do roteador externo, com endereço IP 192.168.0.xxx .
  3. Sub-rede interna, como cliente do roteador interno, com o endereço IP 192.168.1.xxx .

O que eu posso fazer / O que não posso fazer:

Área de trabalho remota do Windows - Como eu encaminhei a porta 3389 nos dois roteadores, o RDP funciona em TODOS os três locais.

FTP básico (não FTPS implícito, não FTPS explícito) usando a porta 21 - funciona em todos os três locais. Muito inseguro embora.

C. FTPS (eu foco no FTPS implícito, que é mais seguro) usando a porta 990:

  1. Na Internet, através de ftps://123.123.123.123:990 , funciona.
  2. Na sub-rede externa, um computador e um telefone celular, com IP 192.168.0.11 e 192.168.0.12 . Acesse o servidor FTP por ftps://192.168.0.2:990 , isso, e somente esta situação, não funciona, e eu não sei porque.
  3. Na sub-rede interna, que está na mesma sub-rede do servidor FTP. Acesso por ftps://192.168.1.48:990 . Funciona como esperado.

Adicionado: o FTPS explícito não funciona no caso C2 também.

Mais sobre o problema

Como mencionado acima, somente os clientes na sub-rede externa não podem acessar o servidor FTP pelo protocolo FTPS (porta 990) implícito.

Para ser preciso, de acordo com os registros do servidor FTP e do cliente FTP, podemos efetuar login, mas não listamos os diretórios e arquivos.

Log do FileZilla FTP Client no caso C2:

Status: Connecting to 192.168.0.2:990...
Status: Connection established, initializing TLS...
Status: Verifying certificate...
Status: TLS connection established, waiting for welcome message...
Status: Logged in
Status: Retrieving directory listing...
Command:    PWD
Response:   257 "/" is current directory.
Command:    TYPE I
Response:   200 Type set to I
Command:    PASV
Response:   227 Entering Passive Mode (192,168,1,48,32,136)
Command:    MLSD
Response:   425 Can't open data connection for transfer of "/"
Error:  Failed to retrieve directory listing

Log do FileZilla FTP Server no caso C2:

(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> Connected on port 990, sending welcome message...
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> 220-FileZilla Server 0.9.60 beta
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> 220-written by Tim Kosse ([email protected])
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> 220 Please visit https://filezilla-project.org/
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> TLS connection established
(000873)12/05/2017 01:50:02 - (not logged in) (192.168.0.11)> USER midnite
(000873)12/05/2017 01:50:02 - (not logged in) (192.168.0.11)> 331 Password required for midnite
(000873)12/05/2017 01:50:02 - (not logged in) (192.168.0.11)> PASS ***
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 230 Logged on
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> SYST
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 215 UNIX emulated by FileZilla
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> FEAT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 211-Features:
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  MDTM
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  REST STREAM
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  SIZE
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  MLST type*;size*;modify*;
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  MLSD
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  AUTH SSL
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  AUTH TLS
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  PROT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  PBSZ
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  UTF8
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  CLNT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  MFMT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  EPSV
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)>  EPRT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 211 End
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PBSZ 0
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 200 PBSZ=0
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PROT P
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 200 Protection level set to P
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PWD
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 257 "/" is current directory.
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> TYPE I
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 200 Type set to I
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PASV
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 227 Entering Passive Mode (192,168,1,48,32,136)
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> MLSD
(000873)12/05/2017 01:50:12 - midnite (192.168.0.11)> 425 Can't open data connection for transfer of "/"
    
por midnite 11.05.2017 / 20:00

0 respostas