domanda su accesso ftp da ip pubblico e da ip interno

[jack_the_kayman]

nella mia rete (utilizzo un router netgear), ho configurato su un ip (192.168.0.99) il servizio ftp, ora se ad esempio da un pc nella mia rete interna nel client ftp scrivo:

utentex@192.168.0.99 riesco ad entrare nell'ftp, ma se invece scrivo il mio ip pubblico, cioè se scrivo così:
utentex@88.XX.XX.XX non riesco ad entrarci ed ottengo un connection timeout...

ora quello che vorrei sapere:
è 'giusto', è 'normale' che dalla rete interna mettendo l'ip pubblico non mi faccia entrare nel mio fpt ma solo mettendo l'ip interno?


p.s.
l'ftp invece dall'esterno è accessibile mettendo l'ip pubblico.

[khael]

certo che è giusto.
devi fare il port forwarding dal tuo router.

ciao

[nuovoUtente86]

è giusto, ma il forward non c' entra nulla per quanto riguarda la connessione intranet. Il problema deriva dall' impostazione di default del 90% degli isr, ovvero manca la regola di loopback sull' interfaccia pubblica, e in quasi tutti i casi non è neppure settabile staticamente.

[jack_the_kayman]

perchè con il vecchio router (un netopia) ci riuscivo, cambiato router con il netgear non me lo fa più


vabbè l'importante è che sia 'normale' che sia così, giusto?

[khael]

Quote:

Originariamente inviato da nuovoUtente86

è giusto, ma il forward non c' entra nulla per quanto riguarda la connessione intranet. Il problema deriva dall' impostazione di default del 90% degli isr, ovvero manca la regola di loopback sull' interfaccia pubblica, e in quasi tutti i casi non è neppure settabile staticamente.

scusami ma se lui è dietro router non ha ip pubblico....
è normale che non riesca ad accedere al suo server interno alla rete.

Secondo me basta impostare un Forwarding della porta e basta.

[nuovoUtente86]

Quote:

Originariamente inviato da khael

scusami ma se lui è dietro router non ha ip pubblico....
è normale che non riesca ad accedere al suo server interno alla rete.

Secondo me basta impostare un Forwarding della porta e basta.

Lui cerca di accedere dalla rete lan sull' ip pubblico della sua interfaccia LAN e le cose sono un po diverse da quelle che avverrebbero se il pacchetto provenisse effettivamente dal modem:
il router il tal caso fa questo ragionamento:
-considera il pacchetto spoofato e lo droppa per ragioni di sicurezza.
-considera il pacchetto buono e risponde solo se ha un proprio demone (non una regola in forward)su quella porta...esempio se cerco di raggiungere un server http e la cgi del router è raggiungibile da remoto avrò la risposta da questa.
-il firmware supporta le regole di loopback (dette anche "null route" o "bucket interfaces2)e se una regola viene matchata il pacchetto è direttato sull' host adeguato.
Da sole le regole di forward non bastano in questo caso, in quanto esse sono analizzate solo in fase outbound, mentre il pacchetto viene smarrito nella fase inbound.

[khael]

Quote:

Originariamente inviato da nuovoUtente86

Lui cerca di accedere dalla rete lan sull' ip pubblico della sua interfaccia LAN e le cose sono un po diverse da quelle che avverrebbero se il pacchetto provenisse effettivamente dal modem:
il router il tal caso fa questo ragionamento:
-considera il pacchetto spoofato e lo droppa per ragioni di sicurezza.
-considera il pacchetto buono e risponde solo se ha un proprio demone (non una regola in forward)su quella porta...esempio se cerco di raggiungere un server http e la cgi del router è raggiungibile da remoto avrò la risposta da questa.
-il firmware supporta le regole di loopback (dette anche "null route" o "bucket interfaces2)e se una regola viene matchata il pacchetto è direttato sull' host adeguato.
Da sole le regole di forward non bastano in questo caso, in quanto esse sono analizzate solo in fase outbound, mentre il pacchetto viene smarrito nella fase inbound.

scusami ho sbagliato io ad interpretare; pensavo non riuscisse ad accedere dall'esterno all'interno della rete.

[jack_the_kayman]

Quote:

Originariamente inviato da nuovoUtente86

Lui cerca di accedere dalla rete lan sull' ip pubblico della sua interfaccia LAN e le cose sono un po diverse da quelle che avverrebbero se il pacchetto provenisse effettivamente dal modem:
il router il tal caso fa questo ragionamento:
-considera il pacchetto spoofato e lo droppa per ragioni di sicurezza.
-considera il pacchetto buono e risponde solo se ha un proprio demone (non una regola in forward)su quella porta...esempio se cerco di raggiungere un server http e la cgi del router è raggiungibile da remoto avrò la risposta da questa.
-il firmware supporta le regole di loopback (dette anche "null route" o "bucket interfaces2)e se una regola viene matchata il pacchetto è direttato sull' host adeguato.
Da sole le regole di forward non bastano in questo caso, in quanto esse sono analizzate solo in fase outbound, mentre il pacchetto viene smarrito nella fase inbound.

ah ecco, quindi pensi che con il vecchio router ci riuscissi perchè aveva questa opzione di loopback ed invece adesso il netgear no?

p.s.
da 'fuori', in remoto, riesco ad accedere al mio ftp con l'ip pubblico

[nuovoUtente86]

si aveva il loopback attivo oppure lo utilizzavi in bridge_ip_mode.

[Alfonso78]

è stranoto il problema della regola di loopback...

modello di router...???

[jack_the_kayman]

Quote:

Originariamente inviato da nuovoUtente86

si aveva il loopback attivo oppure lo utilizzavi in bridge_ip_mode.

ah ok

il modello è ROUTER NETGEAR DGN2000