FTP su server interno in NAT

[wtelese]

Salve,
premetto che sono alle prime armi con questa tipologia di router, ho un CISCO 877 con IP Pubblico.

Ho un server con ip interno dove è installato un Server FTP, ho provato a fare un NAT sulla porta 21 e sembra funzionare, fino alla lettura delle cartelle. Ho configurato anche il Server FTP in modo passivo in modo che utilizzi l'IP Pubblico del router e che rinegozi la porta dalla 2000 alla 2005, ma non riesco a far funzionare l'ultimo passaggio, cioè la lettura delle cartelle.

potreste aiutarmi cortesemente? Se volete vi invio anche la configurazione del Firewall e del NAT, ma dovete scrivermi i comandi perchè io lavoro solo in formato grafico con SDM

Spero di essere stato chiaro, aspetto il vostro aiuto, grazie!

[Wizard]

Nn nominare sdm qui...

Codice: Seleziona tutto

sh run

[wtelese]

SCUSA non nominerò mai più il nome della console grafica invano

Questa comunque è la mia configurazione. Ho commentato un paio di righe perchè per far sì che nel frattempo gli utenti possano utilizzare l'FTP ho nattato u IP interno con un IP pubblico. Non avevo altra scelta

confido nel vostro aiuto. grazie

no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.100
ip dhcp excluded-address 10.10.10.131 10.10.10.254
ip dhcp excluded-address 192.168.1.1 192.168.1.9
ip dhcp excluded-address 192.168.1.31 192.168.1.254
!
ip dhcp pool sdm-pool1
import all
network 10.10.10.0 255.255.255.0
dns-server 151.99.125.2 62.149.203.233
default-router 10.10.10.1
!
ip dhcp pool sdm-pool2
import all
network 192.168.1.0 255.255.255.0
dns-server 151.99.125.2 62.149.203.233
default-router 192.168.1.1
!
!
ip inspect drop-pkt
ip inspect name SDM_MEDIUM appfw SDM_MEDIUM
ip inspect name SDM_MEDIUM cuseeme
ip inspect name SDM_MEDIUM dns
ip inspect name SDM_MEDIUM h323
ip inspect name SDM_MEDIUM https
ip inspect name SDM_MEDIUM icmp
ip inspect name SDM_MEDIUM imap reset
ip inspect name SDM_MEDIUM pop3 reset
ip inspect name SDM_MEDIUM netshow
ip inspect name SDM_MEDIUM rcmd
ip inspect name SDM_MEDIUM realaudio
ip inspect name SDM_MEDIUM rtsp
ip inspect name SDM_MEDIUM esmtp
ip inspect name SDM_MEDIUM sqlnet
ip inspect name SDM_MEDIUM streamworks
ip inspect name SDM_MEDIUM tftp
ip inspect name SDM_MEDIUM tcp
ip inspect name SDM_MEDIUM udp
ip inspect name SDM_MEDIUM vdolive
no ip bootp server
ip domain name itadvanced.it
ip name-server 151.99.125.2
ip name-server 62.149.203.233
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode adsl2
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address 94.83.241.49 255.255.255.248
ip access-group 104 in
ip verify unicast reverse-path
ip inspect SDM_MEDIUM out
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
protocol ip 94.83.42.101 broadcast
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip access-group 102 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Vlan2
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface ATM0.1 overload
ip nat inside source list 2 interface ATM0.1 overload
ip nat inside source static tcp 10.10.10.2 21 94.83.241.49 21 extendable
/********************************************************/
/* dopo svariate prove per far funzionare l'FTP ho NATTATO l'ip 10.10.10.2 con 94.83.241.50 */
/* la riga successiva una volta configurato l'FTP verrebbe cancellata come anche quella nel Firewall */
/********************************************************/
ip nat inside source static 10.10.10.2 94.83.241.50
!
ging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 94.83.241.48 0.0.0.7
access-list 3 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuratio
n
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 94.83.241.48 0.0.0.7 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuratio
n
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp host 62.149.203.233 eq domain host 94.83.241.49
access-list 101 permit udp host 151.99.125.2 eq domain host 94.83.241.49
access-list 101 deny ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any host 94.83.241.49 echo-reply
access-list 101 permit icmp any host 94.83.241.49 time-exceeded
access-list 101 permit icmp any host 94.83.241.49 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 102 remark auto generated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 deny ip 94.83.241.48 0.0.0.7 any
access-list 102 deny ip 192.168.1.0 0.0.0.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 permit ip any any
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 deny ip 94.83.241.48 0.0.0.7 any
access-list 103 deny ip 10.10.10.0 0.0.0.255 any
access-list 103 deny ip host 255.255.255.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 permit ip any any
access-list 104 remark auto generated by SDM firewall configuration
access-list 104 remark SDM_ACL Category=1
access-list 104 permit udp any host 94.83.241.50
access-list 104 permit tcp any host 94.83.241.50
/********************************************************/

/*questa dovrebbe essere la riga incriminata*/
/*con questo comando riesco ad entrare tramite FTP sul server interno, ma non riesco a fare il LIST tramite FTP */
access-list 104 permit tcp any eq ftp host 94.83.241.49
/********************************************************/

access-list 104 deny icmp any host 94.83.241.49
access-list 104 permit udp host 62.149.203.233 eq domain host 94.83.241.49
access-list 104 permit udp host 151.99.125.2 eq domain host 94.83.241.49
access-list 104 deny ip 192.168.1.0 0.0.0.255 any
access-list 104 deny ip 10.10.10.0 0.0.0.255 any
access-list 104 permit icmp any host 94.83.241.49 echo-reply
access-list 104 permit icmp any host 94.83.241.49 time-exceeded
access-list 104 permit icmp any host 94.83.241.49 unreachable
access-list 104 deny ip 10.0.0.0 0.255.255.255 any
access-list 104 deny ip 172.16.0.0 0.15.255.255 any
access-list 104 deny ip 192.168.0.0 0.0.255.255 any
access-list 104 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 deny ip host 255.255.255.255 any
access-list 104 deny ip host 0.0.0.0 any
access-list 104 deny ip any any
snmp-server community IT@dvanced RO 3
no cdp run
!
!
!
control-plane
!
banner in ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
in local
no modem enable
transport output telnet
line aux 0
in local
transport output telnet
line vty 0 4
privilege level 15
in local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500

!
webvpn cef
end

[Wizard]

ip nat inside source static tcp 10.10.10.2 21 94.83.241.49 21 extendable

Questa regola è corretta!

[wtelese]

ip nat inside source static tcp 10.10.10.2 21 94.83.241.49 21 extendable

Immaginavo che la regola fosse valida.

Il problema è il seguente:
Dall'esterno con qualsiasi programma FTP riesco a collegarmi al server interno, ma nel momento che il programma esegue il LIST per ricevere la lista della cartella, da errore e si disconnette. Nel LOG del firewall vedo che viene negata la rinegoziazione della porta, volevo sapere quale era la regola del firewall da cambiare per far funzionare tutto correttamente.

PS Poi ho notato che da quando mi hanno riportato il mio cisco 877 dopo averlo avuto 3 mesi in riparazione, la mia linea sembra essere più lenta, mi potete dire il comando per vedere come è configurato l'ATM0.1 (ADSL,ADSL2,ADSL2+) in modo da reimpostarlo a ADSL2+ grazie.


[/quote]

[Wizard]

Allora x l ftp natta anche la porta 20 e inzia a mettere qualche acl in entrata

[Wizard]

interface ATM0
dsl operating-mode adsl2

Prova a metterlo in auto

[zot]

Ip nat inside source static 10.10.10.2 94.83.241.50 con questa fai un NAT 1:1 se la macchina 10.10.10.2 non è bella hardeinizzata vai incontro ad un freco di problemi di sicurezza.Come ti detto Wizard natta la 20 e la 21 ma anche le porte che hai assegnto alla modalità passiva.