CISCO 827 4v e server FTP interno alla LAN.

[Ferny1975]

Innanzi tutto saluto gli Utenti del Forum,
strumento di grandissimo aiuto per cio' che concerne CISCO in lingua Italiana.

Ho un piccolo problema con un Router CISCO 827 4V, ho cercato a lungo
su questo sito, ma non ho trovato nulla in proposito, almeno nello specifico,
quindi vado subito al punto,
sperando che qualche utente esperto abbia pieta' di me e replichi a questo mio post:

Sono connesso ad Internet tramite connessione ADSL Routed RFC1483,
con indirizzo IP Statico utilizzando appunto il router 827 4V cisco.

Ho attivato su una macchina interna alla rete LAN
con ip: 10.10.10.2 un server FTP porta 21 (utilizzando IIS 5.1).
facendo ftp://10.10.10.2 mi apre la cartella ftp correttamente.

In seguito, utilizzando il CRWS del router (per praticita' ed inesperienza),
sulla sheda PAT, del web setup del Router, ho attivato il servizio ftp sulla porta 21
e sulla macchina interna 10.10.10.2.
Fatto cio' anche sulla pagina iniziale mi da' correttamente il NAT attivato e con
questo ip forwarding:

IP GLOBALE IP LOCALE
(ip statico pubblico es:111.222.333.444:21) 10.10.10.2:21

... a questo punto io mi aspetto che facendo ftp://111.222.333.444 mi apri la cartella ftp del server ftp interno 10.10.10.2,
in modo da avere una cartella ftp accessibile da qualsiasi pc collegato ad internet,
e invece non mi apre niente, come se fosse bloccato e un alert mi dice: "Impossibile accedere alla cartella
....... " "...connessione al server reimpostata" o "Impossibile risolvere il nome del server o l'indirizzo."

Ho fatto un milione di prove, tra cui abilitare lo stesso ip forwarding di sopra ma anche sulla porta 20,
pensando che dall'esterno non mi funzionava perche' ho letto che l'ftp di default utilizza le porte 20 e 21, ma niente lo stesso.

Ho anche pensato che il flusso ftp mi venga bloccato dal provider della connessione, ma non credo,
altrimenti che senso avrebbe l'utilizzo dell'ip statico .... ??

Da qui ho anche iniziato a studiarmi il manuale (in inglese ) del Router,
un bel 'mattone' che presume conoscenze avanzate di Networking ( ... che io ho fino ad un certo punto !!),

comunque mi sono concentrato sui comandi principali dello IOS che mi interessavano e anche da Telnet ho verificato la configurazione base,
le impostazioni 'ip nat translation' e le 'access-list' precedentemente create dal web setup con lo scopo di indirizzare
la richiesta ftp dall'esterno verso il server ftp interno.
Purtroppo non essendo esperto di ROUTER CISCO mi potrebbe sfuggire qualche altra impostazione, e qualche errore di
configurazione che potrebbe avere il router, scrivo di seguito le info specifiche del router,
sperando che qualcuno possa darmi qualche consiglio utile per raggiungere lo scopo sopra descritto.

-- CONFIG. ROUTER: ---

ROUTER# show running @@(dove: xx.xx.xxx.10 e' il mio indirizzo pip fisso)@@

Current configuration : 2314 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ROUTER
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
!
no aaa new-model
!
resource policy
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool CLIENT
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server xx.xx.0.1 xx.xx.0.2
lease 0 2
!
ip name-server xx.xx.0.1
ip name-server xx.xx.0.2
!
http client response timeout 300
username ROUTER password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username CRWS_Sangeetha privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username CRWS_Gayatri privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username CRWS_Giri privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username CRWS_Prem privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username CRWS_Kannan privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username CRWS_Bijoy privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address xx.xx.xxx.10 255.255.255.252
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
!
ip nat inside source list 102 interface ATM0.1 overload
ip nat inside source static tcp 10.10.10.2 20 interface ATM0.1 20
ip nat inside source static tcp 10.10.10.2 21 interface ATM0.1 21
ip nat inside source static 10.10.10.2 xx.xx.xxx.10
ip nat outside source static tcp 10.10.10.2 21 xx.xx.xxx.xx 21 extendable
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
!control-plane
!
voice-port 1
!
voice-port 2
!
voice-port 3
!
voice-port 4
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end
yy.yy.yyy.yy
ROUTER#show ip nat translation @@(dove: xx.xx.xxx.10 e' il mio indirizzo pip fisso mentre yy.yy.yyy.yy sono indirizzi a me sconosciuti.)@@

Pro Inside global Inside local Outside local Outside global
tcp --- --- xx.xx.xxx.10:21 10.10.10.2:21
tcp xx.xx.xxx.10:20 10.10.10.2:20 --- ---
tcp xx.xx.xxx.10:21 10.10.10.2:21 --- ---
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:2615 yy.yy.yyy.yy:2615
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3154 yy.yy.yyy.yy:3154
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:4167 yy.yy.yyy.yy:4167
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:4974 yy.yy.yyy.yy:4974
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:1461 yy.yy.yyy.yy:1461
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3137 yy.yy.yyy.yy:3137
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:1658 yy.yy.yyy.yy:1658
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:2704 yy.yy.yyy.yy:2704
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3013 yy.yy.yyy.yy:3013
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:2435 yy.yy.yyy.yy:2435
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:1940 yy.yy.yyy.yy:1940
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3678 yy.yy.yyy.yy:3678
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:4798 yy.yy.yyy.yy:4798
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:4832 yy.yy.yyy.yy:4832
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:2901 yy.yy.yyy.yy:2901
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3344 yy.yy.yyy.yy:3344
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3363 yy.yy.yyy.yy:3363
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3414 yy.yy.yyy.yy:3414
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:2844 yy.yy.yyy.yy:2844
tcp xx.xx.xxx.10:135 10.10.10.2:135 yy.yy.yyy.yy:3014 yy.yy.yyy.yy:3014
tcp xx.xx.xxx.10:1315 10.10.10.2:1315 yy.yy.yyy.yy:1863 yy.yy.yyy.yy:1863
udp xx.xx.xxx.10:1389 10.10.10.2:1389 yy.yy.yyy.yy:3544 yy.yy.yyy.yy:3544
udp xx.xx.xxx.10:6348 10.10.10.2:6348 yy.yy.yyy.yy:6346 yy.yy.yyy.yy:6346
--- xx.xx.xxx.10 10.10.10.2 --- ---
ROUTER#



Ringrazio in anticipo chi volesse darmi un aiuto.
Ferny1975.

[TheIrish]

Buondì,
per prima cosa, ricordati che c'è una bella differenza tra FTP tradizionale ed FTP passivo. Per il secondo, non basta nattare due porte, bisogna avere qualcosa a livello superiore che si occupi della questione, ma di questo ne parliamo in seguito.
Penso che in realtà la questione sia focalizzata su un errore "tradizionale" che spesso si fa, ed è:
Quando si utilizza il NAT, ammeno che non si mettano in piedi degli artifizi ad hoc, dall'interno della rete non puoi accedere ad un'altra macchina PATtata sempre all'interno della rete, attraverso l'ip pubblico.
In altra parole, se tu dalla macchina 10.10.10.5 fai ftp <ip_pubblico>, la cosa non funziona, mentre se fai ftp 10.10.10.2 la cosa funziona. Viceversa, se la connessione viene da fuori, ftp <ip_pubblico> funziona correttamente.
Il perché di questo comportamento possiamo approfondirlo magari in seguito.
Quindi, quello che ti consiglio è di testare il funzionamento dall'esterno della rete, settando il client e il server FTP per un funzionamento ATTIVO. Per il passivo (scelta consigliata) ne parliamo poi

[Ferny1975]

Ciao theIrish, grazie per le info preziose ed utili.

Ho letto in un tuo vecchio post, dove scrivi che FTP attivo userà sempre le porte 21 e 20, il passivo userà la 21 per la connessione e le porte superiori alla 1023 per il trasferimento dati.

Sarebbe utile approfondire questo discorso, per configurare il router ad utilizzare l' FTP passivo
..... ma io inizierei dalla cosa piu' semplice e che tra l'altro non mi riesce ... .

Ho seguito il tuo consiglio e stamattina ho provato a puntare ftp <Mio Ip Statico Pubblico> dal PC del lavoro che non appartiene alla LAN dove e' presente il server FTP interno PATtato o NATtato nel router.

Purtroppo il risultato e' sempre lo stesso:
Impossibile accedere ...... Connessione al server reimpostata.

Per accertarmi che non fosse a causa del Proxy utilizzato qui al lavoro, ho fatto delle prove con altri indirizzi FTP e mi funzionano correttamente,
quindi TEORICAMENTE, dal lavoro dovrei essere in grado di aprire anche il mio server FTP.

Premesso quanto detto nel primo mio post, non capisco proprio dov'e' che sbaglio !!!!!

[Ferny1975]

Riflettendo su quanto scritto da TheIrish, non so' nemmeno se con IIS ho attivato un FTP attivo oppure passivo,
in quanto sulla proprieta' non c'e' nessuna opzione al rigurado.

[Ferny1975]

Un saluto a tutti !!!
Cercando in rete la documentazione in merito al mio problema,
credo di aver capito che con IIS il tipo di connessione FTP non e' configurabile e di Default e' in 'Passive Mode'.

Premesso cio',
deduco che potrebbe essere questo il problema per cui da Internet non riesco a raggiungere il mio server FTP interno alla Lan,
in quanto ho semplicemente Nattato la porta 21 (e in seguito anche la 20), operazione sufficente per un Active Ftp,
ma per la Passive ????? Che porte usa ???
Come devo configurare il mio router Cisco 827 4V ottenere lo scopo ??

Saro' grato a chiuque mi posti info preziose in merito,
anche semplicemente dei link di documentazione utile alla mia causa !

Non e' possibile che non riesco a fare una cosa apparentemente cosi' Banale !!!!

Un saluto a tutti e grazie a quanti mi risponderanno !
Ferny1975.

[TheIrish]

Devi utilizzare un sistema di layer superiore.
Prova, da global configuration mode, se esiste una categoria di comandi che cominciano con "ip inspect".
Come alternativa, postaci la versione completa (il nome del file) dello IOS in uso.

[Ferny1975]

Ciao TheIrish, thank'sss per la pazienza !!

Dunque, lo IOS e' :
Cisco IOS Software, C820 Software (C820-OV6Y6-M), Version 12.4(5a), RELEASE SOFTWARE (fc3)
System image file is "flash:c820-ov6y6-mz.124-5a.bin"

Riguardo l' ip inspect:
ROUTERconfig)#ip inspect ?
alert-off Disable alert
audit-trail Enable the logging of session information (addresses and bytes)
dns-timeout Specify timeout for DNS
hashtable-size Specify size of hashtable
log Inspect packet logging
max-incomplete Specify maximum number of incomplete connections before clamping
name Specify an inspection rule
one-minute Specify one-minute-sample watermarks for clamping
tcp Config timeout values for tcp connections
udp Config timeout values for udp flows

.... dall'help dei comandi vedo che, fortunatamente, e' supportato !!!
Mi resta solo da capire quale e' il ragionamento che c'e' dietro per poterlo applicare all'FTP in 'Passive Mode' configurando il mio router.
Se avete idee o link utili ben venga !!! Intanto do' un'occhiata al forum ...

P.S.
Per dovere di cronaca, cercando informazioni in merito all'FTP, ho trovato un documento della Mcrosoft, esaustivo e semplice da capire, anche se in lingua inglese ! :-p ... che potrebbe interessare, questo e' il link:
http://support.microsoft.com/?kbid=323446

Saluti a tutti !!!
Ferny1975.

[Ferny1975]

Salve,
prego chiunque abbia avuto a che fare con questo tipo di configurazione a postare qualche suggerimento, per cio' che concerne il corretto settaggio del Router CISCO per raggiungere dall'esterno un server FTP in 'Passive Mode' .... se necessario utilizzando l' IP Inspect come suggeritomi da TheIrish.
ringrazio in anticipo
Ferny1975.

P.S. a TheIrish:
Ho letto i tuoi interessantissimi articoli sul NAT e sulle ACL NELL' It-Blog,
mi si e' aperto un mondo finora sconosciuto
(io sono un programmatore e non un sistemista),
volevo solo dirti che mi sono stati utilissimi per iniziare a capire anche concettualmente con cosa ho a che fare
.. aspetto con impazienza il proseguo di questa preziosa e comprensibile documentazione.
.. dopo tante ricerche su incomprensibili documenti ufficiali della cisco,
.. finalmente qualcuno che 'scrive come mangia' !!!! Ottimo !
Ciao ciao ! e grazie !
Ferny1975.

[TheIrish]

Allora, permettimi di andare a braccio senza pensare molto a quel che scrivo (oggi è stata una giornata distruttiva).

Da global configuration mode:

Codice: Seleziona tutto

ip inspect myinspect ftp

in modalità configurazione interfaccia dell'atm0.1:

Codice: Seleziona tutto

ip inspect myinspect out

O qualcosa del genere...
Prego qualcun altro di commentare perché stasera non ho la lucidità.

[Ferny1975]

Grazie TheIrish !
provero' subito !

[Ferny1975]

... Buongiorno a tutti !!!

Ho risolto Irish, dopo aver inserito

Codice: Seleziona tutto

ip inspect myfw ftp

(in config mode)
e

Codice: Seleziona tutto

ip inspect myfw out

(in ATM0.1 config mode)
inizialmente mi veniva negato l'accesso,
ho provato a disabilitare il Windows Firewall sul server FTP e come per
Magia ha iniziato a funzionare l'eccesso ftp su quella macchina della LAN.

La cosa un po' fastidiosa e' che non mi funzionano le eccezzioni del Windows Firewall, cioe' ho provato a sbloccare la porta 21 prima e
l'applicazione IIS poi .. ma senza alcun risultato, con il firewall attivo non entro in ftp.
Provero' a fare altre prove in merito, in quanto vorrei lasciare attivo sia il firewall che l'accesso FTP.

Comunque grazie !!
Da quanto frequento il forum, oltre ad aver risolto il problema, ho anche imparato parecchie cose riguardo il mio router 827 4V
e lo IOS CISCO in generale !

Una buona giornata a tutti !!!!!!
Ferny1975.

[TheIrish]

La cosa un po' fastidiosa e' che non mi funzionano le eccezzioni del Windows Firewall, cioe' ho provato a sbloccare la porta 21 prima e
l'applicazione IIS poi .. ma senza alcun risultato, con il firewall attivo non entro in ftp.

1. Mi sembra una cattivissima idea usare windows firewall
2. Mi sembra una ancor più cattiva idea usare windows come server
3. Ma se questa è l'unica soluzione al momento possibile, si può accettare

[Ferny1975]

Ciao Irish.
La piccola Lan su cui sto' lavorando, e' mia, personale e privata.
Pero' non vorrei trascurare la sicurezza, in quanto su quel server ci sono file miei personali e ne' sono anche abbastanza geloso.

Pensavo fossero delle frasi fatte, una leggenda metropolitana,
screditare windows, soprattutto perche' capita spesso, di sentir parlar male di questo sistema operativo, MA NON vengono mai esposti i MOTIVI di quanto affermato.

Per carita', non voglio difendere windows, ma non lo voglio nemmeno condannare, se non almeno prima di aver capito il motivo di tante critiche.

Con la mia testa penso: ' Si ok, windows potra' avere anche molti buchi, pero' puntualmente la casa madre pubblica delle path per risolvere tali difetti di sicurezza, difetti che non credo siano esenti gli altri sistemi operativi'.

Comunque provero a documentarmi meglio in merito.

Tornando alla mia macchina FTP, questa configurazione e' prettamente momentanea, in quanto uso lo Stesso PC per fare praticamente tutto:
Server FTP, Server Web, ci sviluppo .. ecc eccc ....
Cio' ovviamente e' assurdo.

Anticipato questo non escludo che in futuro andro ad aggiungere 1, 2 forse anche tre macchine (sto' facendo anche un MediaCenter per lo svago) ...
Se qualcuno ha dei consigli utili e costruttivi sul sistema operativo, sul server FTP, sul firewall e sull'antivirus da usare ... sono ben accetti,
mi basta anche solo qualche nome, mi preoccupero' io poi di documentarmi sui prodotti consigliati.
Per chiarezza, attualmente utilizzo:
Windows XP Prof.;
Firewall IOS CISCO (e Firewall Windows);
McAfee 8.0

Dite' che con questa configurazione sono in balia di chiunque abbia un minimo di esperienza ???

Grazie per l'interessamente e per le eventuali risposte.
un saluto a tutta la community,
Ferny1975.

[TheIrish]

Ciao Irish.
La piccola Lan su cui sto' lavorando, e' mia, personale e privata.
Pero' non vorrei trascurare la sicurezza, in quanto su quel server ci sono file miei personali e ne' sono anche abbastanza geloso.

Ti capisco, lo sono anch'io

Pensavo fossero delle frasi fatte, una leggenda metropolitana,
screditare windows, soprattutto perche' capita spesso, di sentir parlar male di questo sistema operativo, MA NON vengono mai esposti i MOTIVI di quanto affermato.
Per carita', non voglio difendere windows, ma non lo voglio nemmeno condannare, se non almeno prima di aver capito il motivo di tante critiche.

Giustissimo, l'indagine critica è uno strumento essenziale per evitare di farsi traviare.
Comunque sia, mi sentirai difficilmente screditare Windows come client e come programmatore posso dirti che anche la parte di Win32 che si occupa dell'interfacciamento con l'utente è decisamente ancora la migliore.
L'unico elemento sul quale non cederò mai è nella proiezione di windows in ambiente server esposto a internet.

Con la mia testa penso: ' Si ok, windows potra' avere anche molti buchi, pero' puntualmente la casa madre pubblica delle path per risolvere tali difetti di sicurezza, difetti che non credo siano esenti gli altri sistemi operativi'.

Vero, ma c'è un ma, ed è: il problema è strutturale. Certo con Windows XP molti difetti atavici sono stati risolti e l'architettura del sistema operativo ha fatto passi da gigante, ma rimangono dei gravi buchi progettuali.
Non sono i frequenti bug, che comunque possono affliggere qualsiasi sistema operativo, ma l'architettura stessa del sistema. Non è la possibilità di violare una macchina, ma il livello di compromissione arrecata dalla violazione.

Tornando alla mia macchina FTP, questa configurazione e' prettamente momentanea, in quanto uso lo Stesso PC per fare praticamente tutto:
Server FTP, Server Web, ci sviluppo .. ecc eccc ....
Cio' ovviamente e' assurdo.

Non è assurdo... semplicemente sarebbe da evitare quando possibile.

Anticipato questo non escludo che in futuro andro ad aggiungere 1, 2 forse anche tre macchine (sto' facendo anche un MediaCenter per lo svago) ... Se qualcuno ha dei consigli utili e costruttivi sul sistema operativo, sul server FTP, sul firewall e sull'antivirus da usare ... sono ben accetti,
mi basta anche solo qualche nome, mi preoccupero' io poi di documentarmi sui prodotti consigliati.
Per chiarezza, attualmente utilizzo:
Windows XP Prof.;
Firewall IOS CISCO (e Firewall Windows);
McAfee 8.0
Dite' che con questa configurazione sono in balia di chiunque abbia un minimo di esperienza ???

Beh, discussioni sui sistemi operativi a parte, direi che l'unica cosa che non mi piace è il firewall windows. Io opterei per qualcosa di più configurabile. So che Kerio Personal Firewall è abbastanza apprezzato, ma non so molto in proposito.
Tutto questo SEMPRE CHE si stia parlando di una situazione domestica e non professional

[Ferny1975]

Si ... si ... e' una rete domestica, la mia piccolsa lan.
Piu' che altro sto' studiando facendo le varie prove e configurazioni.

Mi hanno consigliato come Server (prezzo permettendo), vista la mia dimestichezza su sistemi Microsoft, Windows Server 2003, in quanto e' tutto da configurare e forse e' abbastanza sicuro.

Che ne' pensi di Windows Server 2003 come server, appunto.

Comunque presto faro' anche una macchina LINUX, piu' che altro per prendervi un po' di dimestichezza visto che non c'ho mai avuto a che fare e sono curioso di smanettarci
......... sicuramente appena avro' un po' di esperienza anche col pinguino, saro' in grado anch'io di poter confrontare i due sistemi (windows e Linux).

Forse, un po' come affermi Tu Irish,
la verita' sta a meta', cioe' non esiste il migliore o il perggiore in generale, ma molto dipende dall'uso che se ne' deve fare !

Cioe' Client ----> Windows e
Server ---> Unix o Linux.

Ciao ciao
Ferny1975.