Задал pasv_min_port, сказал iptables -F INPUT. Не помогло.
Administrator
Именно так. Скорее всего нестандартый порт.
Junior Member
Задал pasv_min_port, сказал iptables -F INPUT. Не помогло.
Junior Member
Нет, стандартный порт я не переопределял. Собственно, это видно в vsftpd.conf: там listen_port не задан.Originally Posted by Oleg
Zyxmon
ip_conntrack_ftp загружен?
pasv_address=212.1.230.45 - это надеюсь статический внешний IP?
Поробовать не только pasv_min_port но и pasv_max_port задать. Ну и смотреть логи и со стороны vsftpd и со стороны клиента.
Junior Member
Вроде, да. Во всяком случае, если я говорю insmod -L ip_conntrack_ftp, мне отвечают, что такой модуль уже есть.
Да, внешний, статический.
Задал pasv_min_port=30000, pasv_max_port=40000. Сказал iptables -F INPUT. Вот лог клиента:А вот лог сервера:Code:DEBUG output created by Wget 1.8.2 on Windows. --15:56:39-- ftp://f1042.homeip.net/binkd/BSW80116.RAR => `BSW80116.RAR' Resolving f1042.homeip.net... done. Caching f1042.homeip.net => 212.1.230.45 Connecting to f1042.homeip.net[212.1.230.45]:21... connected. Created socket 1908. Releasing 008B25D0 (new refcount 1). Logging in as anonymous ... 220 Welcome to my home ftp server. --> USER anonymous 331 Please specify the password. --> PASS Turtle Power! 230 Login successful. --> SYST 215 UNIX Type: L8 --> PWD 257 "/" --> TYPE I 200 Switching to Binary mode. changing working directory Prepended initial PWD to relative path: old: 'binkd' new: '/binkd' --> CWD /binkd 250 Directory successfully changed. --> PASV 227 Entering Passive Mode (212,1,230,45,154,82) Closing fd 1908 couldn't connect to 212.1.230.45:39506: Bad file descriptor Retrying.К сожалению, подробнее лог сервера не получается.Code:Mon Jan 21 15:56:37 2008 [pid 256] CONNECT: Client "83.102.193.36" Mon Jan 21 15:56:37 2008 [pid 256] FTP response: Client "83.102.193.36", "220 Welcome to my home ftp server." Mon Jan 21 15:56:37 2008 [pid 256] FTP command: Client "83.102.193.36", "USER anonymous" Mon Jan 21 15:56:37 2008 [pid 256] [anonymous] FTP response: Client "83.102.193.36", "331 Please specify the password." Mon Jan 21 15:56:37 2008 [pid 256] [anonymous] FTP command: Client "83.102.193.36", "PASS <password>" Mon Jan 21 15:56:37 2008 [pid 255] [ftp] OK LOGIN: Client "83.102.193.36", anon password "-wget@" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP response: Client "83.102.193.36", "230 Login successful." Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP command: Client "83.102.193.36", "SYST" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP response: Client "83.102.193.36", "215 UNIX Type: L8" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP command: Client "83.102.193.36", "PWD" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP response: Client "83.102.193.36", "257 "/"" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP command: Client "83.102.193.36", "TYPE I" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP response: Client "83.102.193.36", "200 Switching to Binary mode." Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP command: Client "83.102.193.36", "CWD /binkd" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP response: Client "83.102.193.36", "250 Directory successfully changed." Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP command: Client "83.102.193.36", "PASV" Mon Jan 21 15:56:37 2008 [pid 257] [ftp] FTP response: Client "83.102.193.36", "227 Entering Passive Mode (212,1,230,45,154,82)"
Zyxmon
А pasv_enable = YES в конфигурации vsftpd попробовать поставить? (вроде YES по умолчанию).
Last edited by Zyxmon; 21-01-2008 at 14:21.
Junior Member
Попробовал. Не помогло. Чёрт, диск переформатировать, что ли? :-/
Junior Member
Не слушай никого, тупо вбей в файл /usr/local/sbin/post-firewall
вот это
И будет тебе счастье.Code:iptables -D INPUT -j DROP iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination $4:21 iptables -A INPUT -p tcp --dport 1501 -j ACCEPT iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 1501 -j DNAT --to-destination $4:1501 iptables -A INPUT -j DROP
Да и незабудь потом
Ну и в вебоболочке соответственно потри 21 порт (если ставил), в настройках Nat setting->Virtual Serverflashfs save && flashfs commit && flashfs enable
Last edited by dezinfo; 27-01-2008 at 15:18.
Member
Уважаемые, можно плз резюмировать что все же должно быть в итоге, чтобы фтп-сервер был виден снаружи?
Что должно быть в Virtual Server?
Что должно быть в post-firewall?
Какие ключевые настроки должны быть указаны в vsftpd.conf?
Заранее спасибо
Member
Разбрался...
В добавок к
нужно было убрать форвардинг 21 порта из NAT (Virtual Server).Code:iptables -P INPUT DROP iptables -D INPUT -j DROP #### some lines skipped iptables -A INPUT -p tcp --dport 2106:2706 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT
Junior Member
народ, у меня вопрос. в iptables ничего не менял
конфигурация сейчас такая:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain MACS (0 references)
target prot opt source destination
Chain SECURITY (0 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5
DROP all -- anywhere anywhere
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
Это дефолтная конфигурация?
Мне нужно сменить порт фтп с 21 на 1616. Фтп серв: vsftpd, в конфиге проги выставил, ребутнул vsftpd. Из локальной сети всё коннектит и нормально, из интернета-нет коннекта к фтп серверу на порту 1616.
Вопрос насчёт 1 строчки, которая ниже: не сотрёт ли она все дефолтные правила iptables?
Вопрос второй: что нужно для того, что бы разрешить порт 1616? чтобы и в локальной и в глобальной сети был коннект к серверу?
Также нужно закрыть 21 порт.
Ниже я сделал набросок, так как статью с опеннета про iptables я не дочитал и просто пользовался форумом.
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 1616 -j ACCEPT
iptables -A INPUT -j DROP
Дополните/поправьте плиз.
Да, и ещё, можно ли web средствами (чтобы попроще) изменить порт? видел USB Application - FTP Server и там выставлен порт 21, но это для настроек вроде как ступид фтпд, хотя описание говорит, что именно порт. Роутер wl-500Gp и последняя прошивка от Олега
Last edited by rich; 29-01-2008 at 19:47. Reason: дополнение
Senior Member
А у меня заработал фтп-сервер!!!!И с SmartFTP и с Windows IE.
Делал по http://www.sprayfly.com/wiki/Adding_Users
vsftpd.conf как тут-http://wl500g.info/showpost.php?p=78525&postcount=1
post-firewall-
Virtual Server нет.Code:iptables -D INPUT -j DROP iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -j DROP
Спасибо всем!
Junior Member
Ну так что, никто не подскажет? как правильно сделать то? а то так и не работает
Senior Member
Если меняю /bin/sh на /sbin/nologin как написано тут http://www.sprayfly.com/wiki/Adding_Users
то пропадает доступ не только в shell но и в ftp.
А как заблокировать доступ в shell и оставить в ftp?
Member
Вообщем не могу подключиться из вне, т.е. из инета к своему ФТП. ФТП соотвествено Vsftpd
Лог клиента:
Вот конфиг vsftpd:Статус: Соединение установлено, ожидание приглашения...
Ответ: 220 (vsFTPd 2.0.5)
Команда: USER yozhig
Ответ: 331 Please specify the password.
Команда: PASS ************
Ответ: 230 Login successful.
Команда: OPTS UTF8 ON
Ответ: 200 OK
Статус: Соединено
Статус: Получение списка каталогов...
Команда: PWD
Ответ: 257 "/"
Команда: TYPE I
Ответ: 200 Switching to Binary mode.
Команда: PASV
Ответ: 227 Entering Passive Mode (192,170,25,2,72,165)
Команда: LIST
Ответ: 425 Security: Bad IP connecting.
Ошибка: Не могу получить список каталогов!
Вот пост-файервол:anonymous_enable=no
dirmessage_enable=yes
download_enable=yes
dirlist_enable=yes
hide_ids=yes
syslog_enable=yes
local_enable=yes
local_umask=022
chmod_enable=no
chroot_local_user=yes
check_shell=no
user_config_dir=/etc/vsftpd.users
passwd_file=/etc/vsftpd.passwd
listen=yes
listen_port=21
background=yes
max_clients=2
idle_session_timeout=240
utf8=yes
use_sendfile=no
anon_max_rate=1
local_max_rate=0
Вот с этим со всем мне пишет вот такую гадость:iptables -P INPUT DROP
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 1777-1780 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
Пытаюсь записать файл, он его лишь создаёт, с размером 0 байт. Вот такие вот дела, в чём дело понять не могуОтвет: 425 Security: Bad IP connecting.
Ошибка: Не могу получить список каталогов!
Счастливый обладатель WL-500W
Posting Permissions
