FTP сервер в домене.

vacha

Member
Joined
Jul 13, 2005
Messages
44
Reaction score
9
Location
рашка
Доброго времени суток.
Господа специалисты, не откажите во внимании.
Есть сеть (около 100 компов) в домене на Win2003srv. Нужно поднять ftp сервер, для того,чтобы сотрудники компании выкладывали на него различный стафф, который клиенты забирали бы с наружи. Сеть 100 mbit, инет 10 mbit. На границе стоит прокси, на котором крутится ISA 2004.
Есть неплохие железки, которые можно использовать под эти цели - DL360 или DL380 с 247Гб scsi-raid.

1. Слышал, что ftp обычно размещают в DMZ. Что это такое, знаю поверхностно. Если не ошибаюсь, это зона между двумя фаерволами. Это стандартнаная схема?
2. Значит ли это, что нужно настроить ещё один фаервол?
3. Если да, то это должен быть отдельный комп или этот второй фаер можно установить на сревер, на котором будет поднят ftp?
4. Верно ли я понимаю, что этот фаер должен стоять, ПЕРЕД ISA, который сейчас настроен и работает, т.е. снаружи?
5. Какой траффик он должен пропускать,а какой отфильтроввывать (так и хочется просить: "как это всё настроить?":pardon:)
6. Как и какие должны быть изменены (созданы) правила на фаере, который закрывает внутреннюю сеть?
7. Насколько производительным должен быть комп, на который всё это планируется ставить? Целесообразно ли использовать под это дорогостоящий DL380 ?

В общем нужен, как это называют в MS-овских гайдах, "контрольный список" для содания ftp сервера в домене.

Понимаю, что задача для опытного админа тривиальная, но я таковым не являюсь. Буду благодарен за любые замечания, комментарии, советы. Пожалуйста, подскажите, с чего начинать-то?
 

Veda

Member
Joined
May 12, 2005
Messages
1,290
Reaction score
554
Location
Прямиком с WallStreet
DMZ

Два фаерволла понятие виртуальное, правильнее сказать третий (DMZ) интерфейс пограничного фаера - в данном случае ISA (стандартная настройка фаера - три интерфейса: INSIDE - держит внутреннюю сеть, OUTSIDE - держит периметр\доступ из внешнего мира, DMZ - сервера которые активно взаимодействуют с внешним миром и поэтому их нельзя вешать на INSIDE интерфейс, взаимодействие между интерфейсами только на основе динамической или статической трасляции). ПЕРЕД ФАЕРОМ НИЧТО И НИКОГДА НЕ СТАВИТЬСЯ, если только другой фаер.

Настраивать ещё одни фаер не нужно, нужно донастроить существующий подняв на нём ещё один интерфейс (с этого и советую начинать, а уж потом FTP сервак поднимать) и создав правила доступа из внешнего мира и корпоративной сети к DMZ сегменту. Тем более не нужно ставить фаер на серверах, сервера пусть занимаются своим делом, а фаер своим.

Производительное железо не обязательно использовать под FTP сервак, другое дело что можно совместить что-то на одной железке, но это уже другая тема, да и не стоит этого делать без особой на то нужды

Настройка ISA - почитай здесь например http://www.isadocs.ru/
Чтобы настроить FTP сервак почитай здесь http://en.wikipedia.org/wiki/File_Transfer_Protocol

Глянь вот эту тему
 
Last edited by a moderator:

openx

Member
Joined
Nov 26, 2003
Messages
254
Reaction score
95
Age
43
Location
Москва
Эх... было дело и ИСОй ковырялся, надоело мне изучать все нововедения из версии к версии. Ушел на FreeBSD :) - мир меняется, оно постоянно, да и нет ничего нового впринципе :)

Можешь попробовать просто порт-мап настроить - чтобы если кто стучится по порту 21,20 то переадресовывать на такой-то ИП. На том ИП можешь поставить какой угодно ФТП сервер, рекомендую Serv-U (тут найдешь его). Если нужен еще и пассивный режим для ФТП, то ищи по каким портам на него щемятся. Не помню обычно по-моему 4000-4200, но могу ошибаться.
 

vacha

Member
Joined
Jul 13, 2005
Messages
44
Reaction score
9
Location
рашка
VEDA и OPENX, спасибо за ответ.
Делаю всё, как предложил VEDA. Пока что заткнулся в настройке ИСЫ. Добавил интерфейс, повесил на него сервак (Filezilla) пассивный, создал "server publishing rule", разрешающее входящий и исходящий трафик по 21 и по диапазону 30000-30020 портам (ов?). Отредактировал файл зоны, что бы ftp был доступен снаружи по доменному имени.
Локалка 192.168.бла.бла , DMZ - 172.16.бла.бла
С самой ИСЫ на фтп попадаю нормально, но ни снаружи, ни из локалки достучатся не могу :bac:
 

Veda

Member
Joined
May 12, 2005
Messages
1,290
Reaction score
554
Location
Прямиком с WallStreet
фильтруй логи ISA по IP и имени FTP сервака, чтобы понять почему ISA отклоняет запросы
выложи отфильрованные логи (подумаем всем миром)
 

vacha

Member
Joined
Jul 13, 2005
Messages
44
Reaction score
9
Location
рашка
Эх.. Не справился с ИСОй...
И так её крутил, и эдак, и сервер публиковал, и просто правила создавал.. Всё зря, не видно его снаружи - хоть тресни. Заманался :bac:
Выставил FTP на отдельный IP, закрыл Аутпостом.
Спасибо за участие :beer:
 

Veda

Member
Joined
May 12, 2005
Messages
1,290
Reaction score
554
Location
Прямиком с WallStreet
мудрое решение - делай так, как ты можешь это сделать и не заморачивайся правильно это или нет, по мере прибавления опыта можно переделать, а при большом желание разобраться с исой можно поставить стенд и тестить дальше что и как;)
иса действительно мутная тема...
 
Last edited by a moderator:

kpect

Member
Joined
Apr 14, 2004
Messages
35
Reaction score
22
Эх.. Не справился с ИСОй...
И так её крутил, и эдак, и сервер публиковал, и просто правила создавал.. Всё зря, не видно его снаружи - хоть тресни. Заманался :bac:
Выставил FTP на отдельный IP, закрыл Аутпостом.
Спасибо за участие :beer:

1) если под фтп выделяется машина целиком, то я бы рекомендовал поднять его на базе *nix/*bsd системы, благо даже для начинающего админа настройка такой конфигурации вполне доступна, базовая (минимальная) система + ftpd. из плюсов - ничего "лишнего" на машине, максимальное быстродействие. из минусов - я лично не вижу.

2) для исы - при схеме с внутренней сетью и дмз используется маршрутизация входящего трафика в дмз (при маскарадинге ака порт-маппинге неважно, где стоит сервак). Поэтому для отладки я бы рекомендовал сначала убедиться, что весь трафик на будущий фтп заворачивается исой в нужную сторону (например, фтп должен пинговаться и снаружи, и из внутренней сети), а потом уже фильтровать порты.
 
Top