@linkmeup_chat
Vladislav28.11.2017
11:34:40
11:34:40
Дык я на живой системе следила за этими пакетиками
и там от сервера не видно было передачи IP и порта клиенту для соединения? :)
Roman28.11.2017
11:36:09
11:36:09
Проблема в том, что динамические порты присваиваются к серверу!!! То бишь пишу правила на Мэ где разрешаю соурс с любого порта только на destination 20,21 и оно не работает
Что у тебя за МЭ? Все более менее адекватные умеют инспектировать протокол FTP и создавать динамические правилаVladislav28.11.2017
11:37:00
11:37:00
хороший вопрос :)
Kate28.11.2017
11:37:26
11:37:26
Хм... Нет. Там в основном пакеты на 20,21 порты. И пару на динамические с проверкой checksum.Я не заметила связи между ними
GoogleKate28.11.2017
11:37:35
11:37:35
Что у тебя за МЭ? Все более менее адекватные умеют инспектировать протокол FTP и создавать динамические правила
Великий и ужасный АльтельИ там нет фтп протокола
Roman28.11.2017
11:38:06
11:38:06
значит он не входит в группу "более менее адекватных" :))
Vladislav28.11.2017
11:38:44
11:38:44
ну тогда можно задать определенный диапазон выдаваемых фтп-сервером портов и их конкретно открыть на файрволе
открыть, скажем, 10 портов и хватит
Kate28.11.2017
11:39:04
11:39:04
Так я вот и пыталась выяснить где взять этот список
Vladislav28.11.2017
11:39:15
11:39:15
в настройках ftp-сервера :)
Roman28.11.2017
11:39:21
11:39:21
Некоторые ftp сервера могут дать его настроить
Kate28.11.2017
11:39:22
11:39:22
Нефига. Я сначала открыла с 50000-60000
Но фтп начал работать через раз
И пришлось открывать с 30000
GoogleKate28.11.2017
11:40:02
11:40:02
У меня на виндовссервере поднят. Как их погуглить?
Innokentiy28.11.2017
11:40:20
11:40:20
IIS?
Innokentiy28.11.2017
11:40:33
11:40:33
ему можно задать диапазон динамических портов для FTP
специально для таких случаев
Roman28.11.2017
11:40:58
11:40:58
https://technet.microsoft.com/en-us/library/dd463996(v=ws.10).aspx
Innokentiy28.11.2017
11:41:27
11:41:27
во, точно
Artem28.11.2017
11:56:15
11:56:15
Народ, кто знает, как оценить уровень загруженности коммутатора? есть 2960х-48 тянет 5 серверов, 2 ASA, 1 ASR, нужно добавить ещё 2 сервера... нужно понять надо покупать новые коммутаторы или эти потянут. Пытался разовтраться в bits/sec и packets/sec, но не придумал как замониторить эти параметры суммарно по всем портам.. У кого-нибудь есть опыт в этом?
может это поможет: https://www.cisco.com/c/en/us/support/docs/lan-switching/port-monitoring/15214-cat-switch-backplane-util.html
Aleksey28.11.2017
11:56:36
11:56:36
Kate28.11.2017
11:57:32
11:57:32
Не
Не фурычит
У нас активное соединение
А там про пассивное
Roman28.11.2017
12:10:54
12:10:54
Активное соедение не использует эти порты
оно как раз использует 20-ый порт
но оно работать не будет в случае если клиент за файрволлом\НАТом (в общем случае)
GoogleKate28.11.2017
12:12:16
12:12:16
И в клиенте фтп галочку пассивного соединения не ставим
Roman28.11.2017
12:12:44
12:12:44
Вам кинули ссылку на пекрасную статью
https://ru.wikipedia.org/wiki/FTP
Если не верите моим словам (как ftp работает), можно почиатть её - для понимания
Kate28.11.2017
12:13:17
12:13:17
Я эту прекрасную статью читала
Roman28.11.2017
12:16:04
12:16:04
сбрось все соединения, сделай дамп трафика (что бы первый сегмент был SYN от клиента) в формате pcap
потом можно открыть его в вайршарк и посмотреть что конкртено отвечает FTP сервер на моменте инициализации
И какие порты в итоге были прописаны-то на IIS-е?
Kate28.11.2017
12:18:49
12:18:49
50000-50005
Roman28.11.2017
12:18:51
12:18:51
ну и да - откуда этот дамп вообще? На каком участке?
Ну тогда странно откуда взялся 51008. В общем - надо смотреть внутрь пакета, что конкртено ответил FTP
может сервис надо перезапустить в IIS? :)
Ivan28.11.2017
12:39:16
12:39:16
@vasilevkirill @moneron господа, не видят друг друга тики в vrrp по WAN
Vladislav28.11.2017
12:40:20
12:40:20
дак это дамп без пэйлода
Kirill28.11.2017
12:40:35
12:40:35
@vasilevkirill @moneron господа, не видят друг друга тики в vrrp по WAN
"мультик" должен ходить 224.0.0.18Vladislav28.11.2017
12:40:37
12:40:37
вам -v а то и -vvv надо :)
но лучше записать в файл и открыть в wireshark
GoogleKirill28.11.2017
12:43:33
12:43:33
на второй стороне?
Ivan28.11.2017
12:44:13
12:44:13
ну там version=3 ipv4 - это стандартное, поэтому не экспортится
никаких фаерволов и т.д.
Ivan28.11.2017
12:48:23
12:48:23
хммм. Повесил на разные IP в WAN - все равно не видит
AdminERROR: S client not available
Alex28.11.2017
12:49:25
12:49:25
add interface=ether1 name=VRRP#1 priority=254
Адреса, по которым вррп будет работать, навесили на физические интерфейсы?Kirill28.11.2017
12:52:23
12:52:23
ну айпишничками я светить не хочу)
два последних октета нулями замени, меня больше маска инетересует и количесво ip адресовIvan28.11.2017
12:52:30
12:52:30
/28
Kirill28.11.2017
12:52:37
12:52:37
на чём?
Ivan28.11.2017
12:52:49
12:52:49
не понял вопроса
Ivan28.11.2017
13:04:38
13:04:38
ееее
GoogleIvan28.11.2017
13:04:44
13:04:44
я криворукий и кривоглазый
забыл адрес для vrrp добавить
Пасиба @vasilevkirill !
Alex28.11.2017
22:11:55
22:11:55
https://twitter.com/lemiorhan/status/935578694541770752
маководы - есть повод напрячься
KorDen28.11.2017
22:17:21
22:17:21
маководы - есть повод напрячься
Люблю наблюдать зависания народа, прибегающего в кабинет со словами "о, у тебя ж мак, ща потестим", и обнаруживающих логин-форму XFCE :)
За этот месяц это вроде уже второй подобный косяк в макосиAlex28.11.2017
22:20:03
22:20:03
Denis29.11.2017
05:13:59
05:13:59
факт ржачный, спора нет :)
Andrey29.11.2017
06:16:36
06:16:36
draft-ietf-tsvwg-ecn-experimentation-08 - Relaxing Restrictions on Explicit Congestion Notification (ECN) Experimentation
https://datatracker.ietf.org/doc/draft-ietf-tsvwg-ecn-experimentation/?include_text=1
Илья29.11.2017
06:43:40
06:43:40
я брал на 500 рублей, когда он стоил 6к)
Антон29.11.2017
06:56:54
06:56:54
Ждем обвала этого мыльного пузыря :)
Александр29.11.2017
08:28:58
08:28:58
?
Т.е. не так, 5 лет назад то же самое писали
Bird29.11.2017
08:29:22
08:29:22
Ещё лет 15 ждите, и то без гарантии
Открыть в Telegram