>> tcpdump -s1600 -p -i em0 -w zaNAT host 80.188.94.106 and \( host >> 212.80.77.48 \) >> tcpdump -s1600 -p -i em1 -w predNAT host 10.10.10.22 and \( host >> 212.80.77.48 \) > > Takze ted ten slibeny vytah pro ostatni. Takto vypada session: > > <<< 220 bisvan Microsoft FTP Service.(Version 5.0) > >>> USER (cenzurovano1) > <<< 331 Password required for (cenzurovano1) > >>> PASS (cenzurovano2) > <<< 230 User (cenzurovano1) logged in > >>> SYST > <<< 215 Windows_NT.version 5.0 > >>> FEAT > <<< 500 'FEAT': command not understood > >>> PWD > <<< 257 "/(cenzurovano1)" is current directory... > >>> TYPE A > <<< 200 Type set to A > >>> PASV > <<< 227 Entering Passive Mode (212,80,77,48,9,213) > > A nastava presne ta chvile, kdy ma FTP klient otevrit datove spojeni, o > coz se take pokousi: > > 14:07:27.602488 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S > 789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK> > > 14:07:30.499823 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S > 789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK> > > 14:07:36.451070 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S > 789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK> > > Nikdy ale nedostava zadnou odpoved a dojde k zaveru, ze pasivni mod > neni pruchozi. Zkusi tedy aktivni: > > >>> PORT.10,10,10,22,95,10 > <<< 500.Invalid PORT Command > > Ani to nevyjde a tak definitivne vzdava. > > >>> QUIT > > > Komunikace zachycena za prekladem vypada naprosto identicky, > samozrejme, az na prelozenou zdrojovou adresu paketu. Pokus o otevreni > datoveho spojeni ale selze uplne stejne (na SYN pakety neprichazi zadna > odpoved). To, ze neprojde pokus o spojeni aktivnim modem je jasny, NAT > do datove casti paketu nesaha a prikaz PORT "v puvodnim zneni" je pro > server pochopitelne vadny. > > Podle meho nazoru nekdo po ceste, a nejpravdepodobneji ty sam, blokujes > moznost otevreni odchoziho datoveho spojeni.
Jestli tcpdump za prekladem vypada stejne a je to dump z vnejsi karty hranicniho routeru site, tak pokus o navazani datoveho TCP spojeni z te site uspesne odchazi, ale neprichazi odpoved. V takovem pripade bych problem hledal spis nekde na firewallu pobliz FTP serveru. v. -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
