FTP non accessibile tramite browser

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Salve a tutti,
per qualche strano motivo (per me), non riesco a raggiungere il mio server ftp dall'esterno utilizzando il servizio no-ip "via browser", mentre se utilizzo un client (winscp, filezilla, etc), tutto funziona correttamente. Ho inserito le seguenti righe nel mio router cisco 877w:

ip nat inside source static tcp 10.10.10.203 21 interface Dialer0 21
access-list 101 permit tcp any any eq ftp

La mia necessità è quella di fa accedere alcuni clienti tramite interfaccia browser, ma stranamente questa operazion non funziona.

Potreste, cortesemente, darmi una mano? Dovo sto sbagliando?

Un cordiale saluto!
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

Metti anche la 20 come porta sia in acl che in nat.

Rizio
Si vis pacem para bellum
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Ciao,
molte grazie per la risposta Rizio.
Stasera, faro un test e ti farò sapere.
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Ciao!
Ho fatto quello che mi hai proposto, ma non è cambiato assolutamente nulla.
Continuo ad accedere tranquillamente con un client ma niente tramite browser.
Grazie e scusami per il ritardo.
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Non c'è nessun che possa dare un aiuto??
Top
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Posta la configurazione.

Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Grazie Paolo; ecco la configurazione:

Building configuration...

Current configuration : 8005 bytes
!
! Last configuration change at 21:12:52 SaPaulo Sun Mar 4 2012 by xxxxx
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 xxxxx.
!
no aaa new-model
!
resource policy
!
clock timezone SaPaulo -3
ip subnet-zero
no ip source-route
ip cef
!
!
no ip ftp passive
ip tcp synwait-time 10
no ip bootp server
ip domain name xxxxx
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip ssh time-out 60
ip ssh authentication-retries 2
ip ddns update method no-ip
HTTP
add http://dynupdate.no-ip.com/dns?username ... ame=xxxxxx
remove http://dynupdate.no-ip.com/dns?username ... name=xxxxx
interval maximum 0 0 5 0
!
!
!
crypto pki trustpoint TP-self-signed-3627273094
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3627273094
revocation-check none
rsakeypair TP-self-signed-3627273094
!
!
crypto pki certificate chain TP-self-signed-3627273094
certificate self-signed 01
30820248 308201B1 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33363237 32373330 3934301E 170D3131 30363137 32323332
34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36323732
37333039 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100E238 B562FE53 248DD05F 08DE2270 D3794D67 5E670EDE 2D1A32AF 122C900B
3CA08F49 2E1EE518 151AE851 05B36681 E7F20DEC DD01D4A9 7AF9E527 6A249E6A
517EADAA 90EAFAC2 92FBEBF9 BE48C74B 2759966F 8FC25C57 52D2B1FB 38AAD3FB
091C15AE 8C916353 916AA6C1 FDB564C1 573D8380 3F642FFA 4E7D7795 C855EDE3
B84B0203 010001A3 70306E30 0F060355 1D130101 FF040530 030101FF 301B0603
551D1104 14301282 10636973 636F2E73 69737465 6D697374 61301F06 03551D23
04183016 80142557 A6552C61 728D14A5 C012FDF5 0E334EBE 09B7301D 0603551D
0E041604 142557A6 552C6172 8D14A5C0 12FDF50E 334EBE09 B7300D06 092A8648
86F70D01 01040500 03818100 664D93DB 1F3B4319 D4C0BAA3 8A943E4E 9901FDB2
A242760E C7FF9415 0C67CBF2 DCA7CC5D 92C6FD2B FEF0F528 B8E135CA 262686D5
BB8D11E2 FFFD16F1 47207960 B68234A0 FF793E57 9E204D76 C3C3985B B096487F
BDF0381D 7AF399FD 429DA60A C6CC871C 48BC0A11 A023E16C 469523CA 8549685C
C95FBBC4 6F7BDAD1 4F62CB13
quit
username xxxxx privilege 15 secret 5 xxxxx
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
ip ddns update hostname xxxxx
ip ddns update no-ip
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxx
ppp chap password 7 xxxxxx
ppp pap sent-username xxxxx password 7 xxxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.203 20 interface Dialer0 20
ip nat inside source static tcp 10.10.10.203 21 interface Dialer0 21
ip nat inside source static tcp 10.10.10.105 9087 interface Dialer0 9087
ip nat inside source static tcp 10.10.10.105 8084 interface Dialer0 8084
ip nat inside source static tcp 10.10.10.105 9084 interface Dialer0 9084
ip nat inside source static tcp 10.10.10.105 81 interface Dialer0 81
ip nat inside source static tcp 10.10.10.3 59012 interface Dialer0 59012
ip nat inside source static udp 10.10.10.30 40507 interface Dialer0 40507
ip nat inside source static tcp 10.10.10.30 4609 interface Dialer0 4609
ip nat inside source static tcp 10.10.10.30 51413 interface Dialer0 51413
ip nat inside source static tcp 10.10.10.200 2000 interface Dialer0 2000
ip nat inside source static tcp 10.10.10.200 5901 interface Dialer0 5901
ip nat inside source static tcp 10.10.10.104 2001 interface Dialer0 2001
ip nat inside source static tcp 10.10.10.104 5902 interface Dialer0 5902
ip nat inside source static tcp 10.10.10.203 222 interface Dialer0 222
ip nat inside source static tcp 10.10.10.203 442 interface Dialer0 442
ip dns server
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 101 permit tcp host 8.23.224.120 eq www any log
access-list 101 permit tcp any any eq 5901
access-list 101 permit tcp any any eq 2000
access-list 101 permit tcp any any eq 51413
access-list 101 permit tcp any any eq 4609
access-list 101 permit udp any any eq 40507
access-list 101 permit tcp any any eq 59012
access-list 101 permit tcp any any eq 2001
access-list 101 permit tcp any any eq 5902
access-list 101 permit tcp any any eq 81
access-list 101 permit tcp any any eq 9084
access-list 101 permit tcp any any eq 8084
access-list 101 permit tcp any any eq 9087
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq 222
access-list 101 permit tcp any any eq 442
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
banner exec ^CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC

% Password expiration warning.

-----------------------------------------------------------------------



Cisco Configuration Professional (Cisco CP) is installed on this device

and it provides the default username "cisco" for one-time use. If you have

already used the username "cisco" to login to the router and your IOS image

supports the "one-time" user option, then this username has already expired.

You will not be able to login to the router with this username after you exit

this session.



It is strongly suggested that you create a new username with a privilege level

of 15 using the following command.



username <myuser> privilege 15 secret 0 <mypassword>



Replace <myuser> and <mypassword> with the username and password you

want to use.



-----------------------------------------------------------------------

^C
banner login ^CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17175082
ntp server 193.204.114.232
ntp server 193.204.114.233
end
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Cosa fa access-list 101?
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Onestamente, è una configurazione che mi fu data un pò di tempo fa! E' sbagliato usare access-list 101??
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

mulder ha scritto:Onestamente, è una configurazione che mi fu data un pò di tempo fa! E' sbagliato usare access-list 101??

Magari non ho letto bene ma non sembri usarla. Ecco perche' chiedo cosa fa.
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Mi è stato detto che creando una nat devo necessariamente creare anche l'acl!
Sei riuscito a capire il problema del mancato accesso via browser al server ftp da remoto??
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

mulder ha scritto:Mi è stato detto che creando una nat devo necessariamente creare anche l'acl!
Sei riuscito a capire il problema del mancato accesso via browser al server ftp da remoto??
Non stai usando l'acl da quello che vedo.

Se usi wireshark sul computer con i client ftp, c'e' qualche differenza fra quello che
fanno i vari client? Potrebbe essere una questione di ftp attivo / passivo?

Sarei tentato in ogni caso di passare a ip inspect. Poi metti un "log" sulla
linea "deny any any" dell'acl in entrata e attivi anche ip inpect log drop-pkt
e vediamo cosa succede.
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Ciao e grazie per la risposta.
Saresti così gentile da scrivermi nel dettagio la stringa completa?
Ti ringrazio, il fatto è che non ho tanta dimistichezza con i router cisco.
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

mulder ha scritto:Ciao e grazie per la risposta.
Saresti così gentile da scrivermi nel dettagio la stringa completa?
stringa completa?
mulder ha scritto: Ti ringrazio, il fatto è che non ho tanta dimistichezza con i router cisco.
Adesso magari ti tocca acquisirla, allora.

E wireshark?

Per adesso prova con qualche comando debug. usa la tua iniziativa.

"debug ip nat ?" e vedi un po' cosa ti ispira.
Top
mulder
Cisco fan
Messaggi: 25
Iscritto il: mar 14 ago , 2007 11:18 am

Ok, grazie. Cercherò qualcosa su internet per documentarmi meglio prima di fare dei test.
Top
Rispondi

Torna a “Configurazioni”