Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 ISA и нестандартные команды FTP  [new]
V.B.
Guest
Уважаемые эксперты! Помогите решить проблему... Есть ftp-клиент, который использует помимо стандартных команд, входящих в описание протокола ftp, также и нестандартные. ISA 2004 при получении таких команд сразу обрубает соединение. Аналогичный вопрос обсуждался на этом же форуме ( https://www.sql.ru/forum/actualthread.aspx?tid=162775 ), но решение задачи похоже тогда закончилось ничем.
Может кто сталкивался с такой проблемой?
Заранее спасибо.
9 ноя 07, 10:06    [4894803]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
Guset
Guest
V.B.
Уважаемые эксперты! Помогите решить проблему... Есть ftp-клиент, который использует помимо стандартных команд, входящих в описание протокола ftp, также и нестандартные. ISA 2004 при получении таких команд сразу обрубает соединение. Аналогичный вопрос обсуждался на этом же форуме ( https://www.sql.ru/forum/actualthread.aspx?tid=162775 ), но решение задачи похоже тогда закончилось ничем.
Может кто сталкивался с такой проблемой?


А что за нестандартные команды.

Может имеется ввиду совершенно стандартный режим (один из них) взаимодействия ftp клиента и сервера, когда инициацию на установление соединения берет на себя внешний сервер (для ИСА в сети External) - соотвественно пакет на установление соединения и отбрасывается.
9 ноя 07, 10:25    [4894953]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
Нет... Есть ftp-сервер, набор обрабатываемых команд которого расширен командами, не входящими в описание стандарта протокола. Есть ftp-клиент, который работает с этим сервером и посылает ему в том числе и эти нест. команды.
ISA контролирует соединение (получается) в том числе и на уровне протокола и как дело доходит до посылки клиентом нестандартной команды по управляющему соединению (на 21-й порт сервера), она просто разрывает его.
9 ноя 07, 10:38    [4895063]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
Да... предположение подтвердилось.. вот, что написано в MSDN'е:

FTP Access Filter is an application filter that is installed with ISA Server. It enables FTP protocols. When running in read-only mode, FTP Access Filter blocks all commands in the control channel except the following commands: ABOR, ACCT, CDUP, CWD /0, FEAT, HELP, LANG, LIST, MODE, NLST, NOOP, PASS, PASV, PORT, PWD /0, QUIT, REIN, REST, RETR, SITE, STRU, SYST, TYPE, USER, XDUP, XCWD, XPWD, SMNT. This should block any writing to the server side. The default list of allowed commands can be replaced by a customized list that is written to the collection of vendor parameters sets (FPCVendorParametersSets) associated with the filter. The Firewall service must restarted for the new settings to take effect.

Может, кто-нибудь проводил эту операцию и расскажет, как ее осуществлять на ИСЕ?
9 ноя 07, 11:22    [4895419]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Это надо писать VB скрипт.
Я подобное делал для SSL и то сразу не получилось.
Для этого надо изучить модель СОМ объекта.
Без знания модели, ее методов и свойств не получится.
Можно попытаться поискать готовый скрипт, там же на сайте.
9 ноя 07, 12:03    [4895813]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
А просто редактированием реестра винды нельзя это поправить?
А если нельзя, то что с ним делать потом, со скриптом? Где его запускать или как его подсовывать ИСЕ?
9 ноя 07, 13:23    [4896589]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
P.S.
VB-скрипт, похоже, редактирует реестр, добавляет в некую секцию ({680A928F-22B3-11D1-B026-0000F87750CB} параметр "AllowReadCommands", в качестве значений которого - список используемых ftp-команд.
Или я не прав?

Практическое добавление этого "AllowReadCommands" где только можно ничего не дало, толку ноль...
9 ноя 07, 13:48    [4896827]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
aleks2
Guest
V.B.
Уважаемые эксперты! Помогите решить проблему... Есть ftp-клиент, который использует помимо стандартных команд, входящих в описание протокола ftp, также и нестандартные. ISA 2004 при получении таких команд сразу обрубает соединение. Аналогичный вопрос обсуждался на этом же форуме ( https://www.sql.ru/forum/actualthread.aspx?tid=162775 ), но решение задачи похоже тогда закончилось ничем.
Может кто сталкивался с такой проблемой?
Заранее спасибо.


Поставь ISA Firewall Client и работай через него, а не через WebProxy/SecureNAT.
И щастье тебя найдет...
9 ноя 07, 14:34    [4897266]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
Это первое, что я сделал.
Дело не в типе клиента ИСЫ, ftp-фильтр работает для всех клиентов.
Как совершенно правильно заметил Анатолий, надо изменять фильтр через VB-скрипт.
9 ноя 07, 15:00    [4897515]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
V.B.
А просто редактированием реестра винды нельзя это поправить?
А если нельзя, то что с ним делать потом, со скриптом? Где его запускать или как его подсовывать ИСЕ?

Может и можно, но где уверенность, что все правильно изменишь, ничего не пропустишь? Если уверен, то решение более простое.
9 ноя 07, 15:08    [4897571]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
V.B.
А если нельзя, то что с ним делать потом, со скриптом? Где его запускать или как его подсовывать ИСЕ?

Двойной щелчок по иконке, самое простое если не знаком с другими инструментами. Будет запущен WSH и выполнен скрипт. А так есть несколько консольных программ, которые тоже делают. Про сам скрипт не подскажу - это надо изучать модель и делать эксперименты, как я их делал с SSL.
Вот например мой скрипт по SSL, может чем то поможет на начальных шагах или в будущем с SSL
dim root
dim tpranges
dim newrange
set root = createobject("FPC.Root")
set tpranges = root.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set newRange = tpRanges.AddRange("SSL 4433", 4433, 4433)
tpRanges.Save
9 ноя 07, 15:13    [4897616]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
Это первое, что я сделал.
Дело не в типе клиента ИСЫ, ftp-фильтр работает для всех клиентов.
Как совершенно правильно заметил Анатолий, надо изменять фильтр через VB-скрипт.
9 ноя 07, 15:48    [4897905]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Между прочим меня это сильно смущает, сколько конфигурационных возможностей они спрятали на самом сервере, а найти в базе, понять и сделать скрипт не каждому дано. Я смотрел модель, это же что то малоподъемное, не габаритное.
9 ноя 07, 16:38    [4898369]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
Я нашел скрипт (все в том же MSDN), кот. должен лечить это дело...:

Dim root
Dim ftpFilter
Dim vpSet

On Error Resume Next
Err.Clear
Set root = CreateObject("FPC.Root")

' Get the filter's administration object
Set ftpFilter = root.GetContainingArray.Extensions.ApplicationFilters("{680A928F-22B3-11d1-B026-0000F87750CB}")
If ftpFilter Is Nothing Then
Wscript.Echo "FTP Access Filter ({680A928F-22B3-11D1-B026-0000F87750CB}) is not installed in array."
WScript.Quit
End If

' Get the vendor parameter set containing the filter's configuration.
Set vpSet = ftpFilter.VendorParametersSets.Item("{680A928F-22B3-11D1-B026-0000F87750CB}")

'If this vendor parameters set does not exist, create it.
If vpSet Is Nothing Then
WScript.Echo "Adding a vendor parameters set ({680A928F-22B3-11D1-B026-0000F87750CB})"
Err.Clear
Set vpSet = ftpFilter.VendorParametersSets.Add("{680A928F-22B3-11D1-B026-0000F87750CB}",False)
ftpFilter.VendorParametersSets.Save
End If

' Add the required parameter.
vpSet.Value("AllowReadCommands") = "USER PASS" // здесь прописываем все наши команды
vpSet.Save

Но как им пользоваться?
Сохраняем в текстовом файле, меняем расширение на ".vbs" и щелкаем 2 раза? Потом перегружаем сервис MS Firewall и... Что-то результата нет :((
Правильно делаю?
9 ноя 07, 18:51    [4899162]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Появились ли какие то либо сообщения после щелчка. Если обработчик консольный, то лучше запускать из консоли и смотреть. Если не ясна какая программа исполняет, то это легко найти в реесте для расширения .vbs
9 ноя 07, 19:01    [4899206]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
aleks2
Guest
V.B.
Это первое, что я сделал.
Дело не в типе клиента ИСЫ, ftp-фильтр работает для всех клиентов.
Как совершенно правильно заметил Анатолий, надо изменять фильтр через VB-скрипт.


Вот не надо ля-ля. Фильтр можно, как минимум, отключить.
Firewall-клиенты при этом будут продолжать работать.
9 ноя 07, 20:35    [4899362]     Ответить | Цитировать Сообщить модератору
 Re: ISA и нестандартные команды FTP  [new]
V.B.
Guest
После щелчка мелькает консольное окно и.. на этом все заканчивается, никаких сообщений.

Что касается отключения фильтра, то хотелось бы просто научить его новым командам.

Эх... с понедельника начну ковырять дальше...
10 ноя 07, 00:23    [4899807]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить