Не могу доступиться к ФТП "снаружи"! , Запарилсо..

Суть такова. Есть подключение к АДСЛ, модем подключен к свитчу, Инет роздан на 4 компа (вернее, уже на 3, один спалили враги, и теперь вот мучаюсь), статические айпишники розданы, на всех одна версия ХП СП2, практически одинаково настроена, установлен почти один и тот же софт...

Выделенного Айпи на АДСЛе нету, но создана учётная запись на dynDNS, апдейтер установлен, нормально обновляется, что такое проброс портов через НАТ АДСЛ-модема я в курсе, так что на двух компах отлично в разное время (на одном - до сих пор) были видны "извне" и успешно работали ФТП и ХТТП сервер, Радмин, торренты и что-то еще - уже не вспомню.

Но вот один комп (ну естессно, который по иронии судьбы именно и нужно сейчас настроить), упорно не видится "извне". Встроенный в Винду брандмауэр отключен, порты проброшены, нужные сервисы через localhost успешно отзываются, но например Радмин не хочет отзываться даже компу из локалки. Вернее, он как бы отзывается, т.е. пароль спрашивает, типа начинает обмен данными, но больше ничего не происходит. ФТП сервер выдаёт: "Windows socket error": WSAECONNREFUSED

В чем может быть затык? Стоит еще Касперский (не Интернет секьюрити, а простой, антивирус), но
1) его выгрузка ни на что не влияет
2) проблема была и до его установки
3) радмин и ФТП-сервер добавлены в исключения и он по идее их блочить не должен.

Что еще может так косячить? У кого-нибудь были подобные проблемы?

ЗЫ. Винда на "больном" компе устанавливалась "с нуля" не так давно по причине завирусённости, практически тогда же накачен Касперский, так что стандартные рекомендации "почистить вирусы" или "поставить Винду с нуля" кажется вряд ли сильно помогут без нахождения конкретной причины глюка...

Пока отложи вообще проблему доступа извне и решай проблему отсутствия доступа с "соседних" компов в локалке.
Проверяй, идут ли тупо пинги в обе стороны. Идут ли запросы по нужным портам (тот же ФТП через телнет доступен или нет, если нет - то в какой момент проблема), и так далее...

Цитата barazuk @ 17.05.10, 13:28

ФТП сервер выдаёт: "Windows socket error": WSAECONNREFUSED

т.е. ты подключаешься с клиента, а ошибка вылетает на ФТП-сервере?

Цитата

WSAECONNREFUSED
10061
Connection refused.
No connection could be made because the target computer actively refused it. This usually results from trying to connect to a service that is inactive on the foreign host—that is, one with no server application running.

Проверь, привязан ли у тебя собсно сервис ФТП-сервера к внешнему адресу...

Цитата Akina @ 17.05.10, 14:16

Проверяй, идут ли тупо пинги в обе стороны.

Да.

Цитата Akina @ 17.05.10, 14:16

тот же ФТП через телнет доступен или нет, если нет - то в какой момент проблема

О, надо глянуть...

Добавлено 17.05.10, 14:50

Цитата Akina @ 17.05.10, 14:16

Проверь, привязан ли у тебя собсно сервис ФТП-сервера к внешнему адресу...

Да, по крайней мере, всё делал аналогично на всех трёх компах.

В проблемном компе одна сетевуха?

Да.

Касперский до какой степени выгружается? У одного товарища тоже проблема с ним была, не работали некоторые сетевые вещи. Нужно было останавливать некоторые сервисы, связанные с ним.
Может стоит удалить его на время, для чистоты эксперимента?

До разных Как остановка защиты/отключение самозащиты/закрытие программы, так и когда его не было вообще - та же трабла.

Извини, пропустил пункт №2.)
может тогда сниффером поглядеть, что куда идет?
Вариантов масса. Недавно пришлось снять сетевую карту 3ком, несовместимость со свичом.
Провода хорошо ли обжаты? Совпадения маков или IP исключены?
Может переткнуть в свиче провода от PC? мало ли погорел один из них. Перезагрузить свич.

Цитата Паровоз @ 18.05.10, 11:32

IP исключены?

Тут точно исключено.

Цитата Паровоз @ 18.05.10, 11:32

Совпадения маков

Экхм... Ну очень маловероятно. Проблема сохраняется, и когда комп один включён. У свича ж нету мак-адреса? И сеть бы наверное вообще не работала, я так предполагаю?

Цитата Паровоз @ 18.05.10, 11:32

Провода хорошо ли обжаты?

Экхм... Чем проверить?

Добавлено 18.05.10, 13:06

Цитата Паровоз @ 18.05.10, 11:32

Может переткнуть в свиче провода от PC? мало ли погорел один из них. Перезагрузить свич.

Ну это уже сто раз делал

Слушай, ну тут и правда один только путь - смотреть трафик снифером.

Nadz Goldman, я бы рад, ещё бы его достать вкупе с книгами "Руководство по снифферам для дыбилов" и "Учимся гадать на логах сниффера за 14 дней"?

А...
Ну там все просто.
Скачиваешь вот отсюда http://www.ethereal.com/download.html Этереал для твоей ОС.
Устанавливаешь, запускаешь.
Выбираешь интерфейс (твоя сетевая карта), нажимаешь "Start capture". Появляется окошко с выбором опций.
В поле фильтра выбираешь что конкретно снифать - указываем tcp 21. Это порт фтп.
Жмем старт.
Смотрим - добегают ли пакеты до порта и откуда.

Nadz Goldman, с двух разных компов качал, на двух же компах пробовал. Еше идеи?
Прикреплённый файлetereal.jpg (39.78 Кбайт, скачиваний: 471)

Все. Можешь меня минусовать, расчленять... Я - идиот.
Этереал - это старая штука. Даже не знаю почему она взбрела мне в голову...
Но, короче, вот: http://www.wireshark.org/download.html

Да ёперный бабай... Пока я так и не нашел времени, чтобы пойти и разобраться, с какого лешего не виден один комп "снаружи", перестал видеться другой!

Причём - шо характерно - по ФТП!

Брандмауэр отключен, Кац снесён, порты проброшены.

Тем не менее:
1) Радмин - прекрасно доступен как из локалки, так и "снаружи".
2) Удалённое управление uTorrent - тоже.
3) ФТП открывается с самого компа через ftp://user:pass@localhost/, из локалки как ftp://user:pass@NETBIOS_name/, как ftp://user:pass@ip.ad.dr.ess/ . Но не открывается ни "снаружи", ни из сети, ни с самого компа если указываю через глобальный ДинДНС адрес.

Повторяю - ДНС работает правильно, радмин и uTorrent видны с любого "внешнего" компа. Ибо сначала я грешил на свитч, который мог обрубать "внешние" по отношению к используемому в локалке диапазону адресов входящие пакеты.

21й порт в роутере проброшен по протоколу UDP (ровно также, как было до этого, когда успешно четыре года работала та же версия ФТП-сервака на моём сгоревшем компе в этой же локалке, только в правиле изменился айпишник компа, на 21й порт которого перебрасыаются входящие пакеты. Айпишник правильный, проверял три раза...).

Да что же за нафиг!

ЗЫ. В логах ФТП нет никаких ошибок, т.е. до него пакеты "снаружи" вообще не доходят.

Как же докопаться, *кито* или *чито* режет пакеты? Ман для идиота приветствуется.

Цитата

Но не открывается ни "снаружи", ни из сети, .

"Снаружи" - это в буквальном смысле?

Цитата

ни с самого компа если указываю через глобальный ДинДНС адрес

С самого компа, если он подключен через тот самый ADSL модем, который в свою очередь подключен к интернету?
Если так, то видиться и не должно, модем не дурак, не станет возить пакеты через интернет, которые предназначены для локальной сети.
Все пойдет через локальные адреса, а следовательно локальный компьютер(откуда запрос) пойдет не на FTP сЕрвера, а на FTP ADSL модема (локальный адрес ADSL, а на нем переадресация не стоит).

Цитата Паровоз @ 11.06.10, 17:21

"Снаружи" - это в буквальном смысле?

В буквальном, через Интернет.

Цитата barazuk @ 11.06.10, 08:28

21й порт в роутере проброшен по протоколу UDP (ровно также, как было до этого, когда успешно четыре года работала та же версия ФТП-сервака на моём сгоревшем компе в этой же локалке, только в правиле изменился айпишник компа, на 21й порт которого перебрасыаются входящие пакеты. Айпишник правильный, проверял три раза...).

Цитата Паровоз @ 11.06.10, 17:21

FTP ADSL модема (локальный адрес ADSL, а на нем переадресация не стоит).

Да вот как раз стоит переадресация через NAT, которая (см. выше) успешно срабатывает для портов Радмина, WebUI uTorrenta, и ещё забыл про eMule, которым также успешно управляю с другого компа через Интернет.

Итого: проброшено на роутере "снаружи" на интересующий комп 4 порта (ФТП, eMule, Радмин, WebUI), все они "слушаются" соответствующими программами/сервисами на компе - три из них успешно видны с локалки в любом варианте указания адреса (локальный IP, NetBIOS имя, глобальный www-адрес АДСЛ-модема - он же роутер - в Интернете), но входящие "снаружи" пакеты на ФТП чем-то режутся - из самой локалки ФТП доступен, так что кивать на то, что он заблочен на локаль ном компе, вряд ли можно.

Простите, я наверное, дебил.
Но я не могу понять с какого перепугу нынче ФТП работает по УДП ??!!
Ставь TCP.

Добавлено 12.06.10, 10:48
А вообще на роутере есть логи - при настройке роутера можно указать какими кирпичами в какую локаль гадить.

Цитата Nadz Goldman @ 12.06.10, 10:47

А вообще на роутере есть логи

Роутер в моём случае = АДСЛ-модем, настроенный в режиме роутера. Никаких логов я в нём не наблюдал.

Добавлено 13.06.10, 06:05

Цитата Nadz Goldman @ 12.06.10, 10:47

Но я не могу понять с какого перепугу нынче ФТП работает по УДП ??!!

Хз, так было на старом компе, и работало.

Я в курсе, что это адсл модем с возможностью роутинга.
Дай модель.
И все-таки - фтп работает только по ТЦП.

barazuk, фтп-сервер сейчас работает в пассивном режиме. То есть клиент коннектится на активный порт (21, здесь все ОК, кроме как нужно указывать протокол tcp), получает порт активного соединения и устанавливает новое соединение с указанным портом для передачи данных. Вот это второе соединение скорее всего и блокируется. Тут есть два пути:
1) Следить за траффиком на 21м порту и ждать команды PASV, соответственно на каждое новое пассивное соединение пробрасывать порт. В Linux это делает модуль ядра nf_conntrack_ftp, как в твоем роутере - хз.
2) Выделить группу портов (например 3200-3500), пробросить ее в роутере и явно указать FTP-серверу.
3) Отключить пассивные соединения у ftp вообще. Но при большом количестве соединений могут быть неприятносте =)

Цитата Мяут-Настоящий @ 13.06.10, 10:39

barazuk, фтп-сервер сейчас работает в пассивном режиме

Нет, не в пассивном. Проверял.

Цитата Мяут-Настоящий @ 13.06.10, 10:39

3) Отключить пассивные соединения у ftp вообще. Но при большом количестве соединений могут быть неприятносте =)

Не то чтобы отключено - это мой приватный ФТП, которым только я и пользуюсь, поэтому я абсолютно уверен, что:
1) пассиные соединения не происходят
2) ДДОСа вряд ли стоит ожидать

Добавлено 14.06.10, 05:50

Цитата Nadz Goldman @ 13.06.10, 09:43

И все-таки - фтп работает только по ТЦП.

Проверил - ТЦП тоже проброшен, УДП добавлен от отчаяния.

Так, второе - проброс портов должен быть с 20 по 23

Цитата barazuk @ 14.06.10, 05:48

Нет, не в пассивном. Проверял.

В активном надо еще и ftp-data пробрасывать (20 порт, TCP)

Добавлено 14.06.10, 09:05

Цитата Nadz Goldman @ 14.06.10, 08:25

по 23

22 - это уже SSH =)

Да.
Открыть надо 20 и 21 порты в ТиСиПи протоколе.

Ля... Ничего не трогал, само заработало. Несмотря на то, что 20й порт нифига не проброшен. Мистика... Жду повторения глюков для дальнейшего расследования.