Уважаемые гуру! Всетаки если можно сформулируйте конкретные действия как,куда и что нужно вписывать для защиты соединения.К сожалению в этом интересном вопросе совсем не разбираюсь
Еще решение - собрать и поставить portsentry. От скана портов тоже защищает.
Уважаемые гуру! Всетаки если можно сформулируйте конкретные действия как,куда и что нужно вписывать для защиты соединения.К сожалению в этом интересном вопросе совсем не разбираюсь
Вот тема посвежее. Ближе к концу приводится работающий вариант.
http://wl500g.info/showthread.php?t=11436
Проблема в следующем.
Установил ipkg install openssh-sftp-server
Установка прошла успешно, но при запуска sftp-server выдается ошибка-file not found, хотя файл лежит в opt/libexec
Перечитал весь форум, написано, что sftp-server должен запускать dropbear
Сам dropbear у меня запускается, но не запускает sftp-server
Чего не хватает для его запуска?
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Права на запуск были...тож самое..
Может дело в том, что я папку opt смонтировал так:mount /tmp/local/opt /opt
то есть в памяти роутера..
Смонтировалась ок, да и установка прошла успешно..
Last edited by sergeich; 25-10-2008 at 18:25.
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Не запускается sftp-server. Я так понимаю его должен запускать dropbear? Сам dropbear у меня есть в списке процесов, а sftp-server - нет. При ручном запуске sftp-server он отваливается по таймауту. В чем может быть дело?
Code:[admin@WL500G root]$ ipkg list_installed | grep ssh openssh-sftp-server - 5.1p1-1 - sftp-server only from a FREE version of the SSH protocol suite of network connectivity tools. [admin@WL500G root]$ ipkg files openssh-sftp-server Package openssh-sftp-server (5.1p1-1) is installed on /opt/ and has the following files: /opt/libexec/sftp-server Successfully terminated. [admin@WL500G root]$ ls -al /opt/libexec/ drwxr-xr-x 3 admin root 4096 Jan 12 14:40 . drwxr-xr-x 16 admin root 4096 Jan 12 15:48 .. drwxr-xr-x 2 admin root 4096 Jan 12 11:44 awk -rwxrwxr-x 1 admin root 64356 Jul 23 04:06 sftp-server [admin@WL500G root]$ ps ax PID TTY STAT TIME COMMAND 1 ? S 0:01 /sbin/init 2 ? S 0:00 [keventd] 3 ? SN 0:02 [ksoftirqd_CPU0] 4 ? S 0:00 [kswapd] 5 ? S 0:00 [bdflush] 6 ? S 0:00 [kupdated] 7 ? S 0:00 [mtdblockd] 60 ? S 0:00 telnetd 65 ? S 0:00 httpd vlan1 68 ? S 0:00 syslogd -m 0 -O /tmp/syslog.log -S -l 7 71 ? S 0:00 klogd 76 ? S 0:00 [dnsmasq] 78 ? S 0:00 [khubd] 88 ? Ss 0:00 waveservermain 90 ? Ss 0:00 rcamdmain 96 ? S 0:00 [usb-storage-0] 97 ? S 0:00 [scsi_eh_0] 109 ? Ss 0:00 watchdog 112 ? Ss 0:00 ntp 119 ? S 0:00 dropbear -p 443 125 ? S 0:00 upnp -D -L br0 -W vlan1 129 ? S 0:00 [kjournald] 132 ? Ss 0:00 /usr/sbin/vsftpd 152 ? Ss 0:00 dropbear -p 443 153 pts/0 Ss 0:00 -sh 160 pts/0 R+ 0:00 ps ax [admin@WL500G root]$ cat /usr/local/sbin/post-mount #!/bin/sh #mount drives /bin/mount -o sync,noatime,rw /dev/discs/disc0/disc /opt #enable swap /sbin/mkswap /opt/swap.file > /dev/null 2>&1 /sbin/swapon /opt/swap.file [admin@WL500G root]$ cat /usr/local/sbin/post-firewall #!/bin/sh iptables -P INPUT DROP iptables -D INPUT -j DROP iptables -A INPUT -p tcp --syn --dport 443 -j ACCEPT [admin@WL500G root]$ cat /usr/local/sbin/post-boot #!/bin/sh dropbear -p 443 > /dev/null 2>&1
Last edited by GDR; 12-01-2009 at 12:09.
Оказалось сам дурак. Процесс sftp-server появляется, когда попытаешся соединиться с сервером например из WinSPC. В обычном состоянии его в списке не будет.
WinSPC - классная штука.
Вот такие логи весь день:
Jan 31 15:36:05 vsftpd[5493]: CONNECT: Client "122.116.180.110"
Jan 31 15:36:06 vsftpd[5492]: [linux] FAIL LOGIN: Client "122.116.180.110"
Jan 31 15:36:07 vsftpd[5492]: [linux] FAIL LOGIN: Client "122.116.180.110"
Jan 31 15:36:09 vsftpd[5492]: [linux] FAIL LOGIN: Client "122.116.180.110"
Jan 31 15:36:11 vsftpd[5495]: CONNECT: Client "122.116.180.110"
Jan 31 15:36:12 vsftpd[5494]: [linux] FAIL LOGIN: Client "122.116.180.110"
Jan 31 15:36:14 vsftpd[5494]: [linux] FAIL LOGIN: Client "122.116.180.110"
Jan 31 15:36:16 vsftpd[5494]: [linux] FAIL LOGIN: Client "122.116.180.110"
Вопрос в том как на работающем роутере закрыть порт 21 на доступ извне. Останавливать и перегружать очень не хочется.
Прошивка Олега последняя.
Пока совсем закрыл доступ по 21 порту:
iptables -I INPUT -p tcp --dport 21 -j DROP
Как закрыть доступ только извне?
Вам поможет vsftpd c поддержкой tcpwrappers:
http://wl500g.info/showpost.php?p=119458&postcount=132
В файле hosts.allow прописать строчку
Если я не ошибаюсь..Code:vsftpd: 122.116.180.110: DENY
Если вам нужно, чтоб доступ имели только локальные пользователи, то
пропишите в конфиге vsftpd явным образом
и удалите все правила касаемо DNAT по 21 порту в iptables.Code:listen_address=внутренний IP роутера
Last edited by cipipi; 31-01-2009 at 13:13.
Если вы работаете c ФТП через веб морду, то предположу, что надо сделать так
USB application/FTP sever/Enable FTP Server: Yes, LAN only
Спасибо за быстрый ответ.
У меня ftp из прошивки работает, нельзя ли обойтись без установки другой версии vsftpd? Как нибудь на уровне iptables разрешить доступ на ftp для внутренней сети и запретить для внешней?
Кстати, ошибся. Прошивка от форумных разработчиков 10-d7.