Предпосылки / Структура сети
Это два уровня маршрутизаторов. Маршрутизатор на внешнем уровне имеет общедоступный IP-адрес в Интернете. 123.123.123.123 (например, подделка) и частный IP 192.168.0.1. Маршрутизатор на внутреннем уровне, который также является клиентом внешнего маршрутизатора, имеет общедоступный IP-адрес. 192.168.0.2 и частный IP 192.168.1.1. Компьютер под управлением Windows 7 Enterprise с FileZilla Server является клиентом внутреннего маршрутизатора с IP. 192.168.1.48. Все IP-адреса статические.
Я уже несколько месяцев использую удаленный рабочий стол Windows с другой стороны Интернета, подключаясь к машине Win7. Поэтому я считаю, что мои правила переадресации портов на обоих маршрутизаторах правильные.
С другой стороны Интернета FTP-соединение тоже в порядке. я уже
192.168.1.48 на внутреннем маршрутизаторе192.168.0.2 на внешнем маршрутизатореОпределить ...
Есть три сетевых местоположения:
192.168.0.xxx.192.168.1.xxx.Что я могу / что не могу:
A. Удаленный рабочий стол Windows. Поскольку я перенаправил порт 3389 на оба маршрутизатора, RDP работает во ВСЕХ трех местах.
B. Базовый FTP (не явный FTPS, не явный FTPS) с использованием порта 21 - работает во ВСЕХ трех местах. Хотя очень небезопасно.
C. FTPS (я сосредотачиваюсь на неявном FTPS, который более безопасен) с использованием порта 990:
ftps://123.123.123.123:990, оно работает.192.168.0.11 и 192.168.0.12. Доступ к FTP-серверу с помощью ftps://192.168.0.2:990, эта и только эта ситуация не работает, и я не знаю почему.ftps://192.168.1.48:990. Работает как положено.Добавлено: явный FTPS не работает и в случае C2.
Подробнее о проблеме
Как упоминалось выше, только клиенты во внешней подсети не могут получить доступ к FTP-серверу по неявному протоколу FTPS (порт 990).
Если быть точным, согласно журналам FTP-сервера и FTP-клиента, мы можем войти в систему, но не можем перечислить каталоги и файлы.
Журнал FTP-клиента FileZilla в случае C2:
Status: Connecting to 192.168.0.2:990...
Status: Connection established, initializing TLS...
Status: Verifying certificate...
Status: TLS connection established, waiting for welcome message...
Status: Logged in
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I
Command: PASV
Response: 227 Entering Passive Mode (192,168,1,48,32,136)
Command: MLSD
Response: 425 Can't open data connection for transfer of "/"
Error: Failed to retrieve directory listing
Журнал FTP-сервера FileZilla в случае C2:
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> Connected on port 990, sending welcome message...
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> 220-FileZilla Server 0.9.60 beta
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> 220-written by Tim Kosse (tim.kosse@filezilla-project.org)
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> 220 Please visit https://filezilla-project.org/
(000873)12/05/2017 01:50:00 - (not logged in) (192.168.0.11)> TLS connection established
(000873)12/05/2017 01:50:02 - (not logged in) (192.168.0.11)> USER midnite
(000873)12/05/2017 01:50:02 - (not logged in) (192.168.0.11)> 331 Password required for midnite
(000873)12/05/2017 01:50:02 - (not logged in) (192.168.0.11)> PASS ***
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 230 Logged on
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> SYST
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 215 UNIX emulated by FileZilla
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> FEAT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 211-Features:
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> MDTM
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> REST STREAM
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> SIZE
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> MLST type*;size*;modify*;
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> MLSD
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> AUTH SSL
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> AUTH TLS
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PROT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PBSZ
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> UTF8
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> CLNT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> MFMT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> EPSV
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> EPRT
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 211 End
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PBSZ 0
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 200 PBSZ=0
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PROT P
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 200 Protection level set to P
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PWD
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 257 "/" is current directory.
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> TYPE I
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 200 Type set to I
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> PASV
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> 227 Entering Passive Mode (192,168,1,48,32,136)
(000873)12/05/2017 01:50:02 - midnite (192.168.0.11)> MLSD
(000873)12/05/2017 01:50:12 - midnite (192.168.0.11)> 425 Can't open data connection for transfer of "/"