vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть машина, на которой блокированы порты 20 и 21 Выбрал 2 неблокированных порта 2020 и 2021 В vsftpd.conf написал: connect_from_port_20=NO listen_port=2021 ftp_data_port=2020   Но что-то это непомогает. Вот что получается: C:\>ftp ftp> open server.ru 2021 Connected to server.ru. 220 (vsFTPd 2.0.3) User (server.ru:(none)): user 331 Please specify the password. Password: 230 Login successful. ftp> ls 500 Illegal PORT command. 425 Use PORT or PASV first. ftp> pasv Invalid command. ftp> port 2020 Invalid command.   Farом тоже не получается. Еще, когда Фаром подключаюсь, то она зачем то локальные адреса упоминает: -> PWD <- 257 "/home/user" -> PORT 192,168,0,152,4,156 <- 500 Illegal PORT command   Кстати, в локалке все работает отлично и в активном режиме и в пассивном. iptables - не причем, т.к. пробовал отключать.   Какая-то заморочка либо с портами, либо с адресами. Посоветуйте, что подкрутить. Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 18:57 19-07-2005 | Исправлено: vii, 20:10 19-07-2005

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vii Цитата: ftp> pasv Invalid command. Все верно. Твой клиент это сообщает, а не сервер. Цитата: ftp> port 2020 Invalid command. то же самое. к тому же у команды port параметры указываются не так.   Запусти ftp без параметров и выполни команду help, не соединяясь ни с каким сервером, и ты не увидишь в появившемся списке ни команды pasv, ни port.   Цитата: Еще, когда Фаром подключаюсь, то она зачем то локальные адреса упоминает: Все верно. Изучай RFC.   Цитата: iptables - не причем, т.к. пробовал отключать.   при чем. ip_nat_ftp отслеживает соединения по порту 21, а не 2021.   А теперь ты спросишь, что же делать. Соединяйся в пассивном режиме, но не стандартным виндовым клиентом, а хоть тем же фаром. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:06 19-07-2005 | Исправлено: ooptimum, 22:11 19-07-2005

vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: Запусти ftp без параметров и выполни команду help, не соединяясь ни с каким сервером, и ты не увидишь в появившемся списке ни команды pasv, ни port.   Что их там нет, я и сам знаю. Поэтому и спрашиваю. Как работает фтп я в общих чертах знаю, только не помогает это. Цитата: Соединяйся в пассивном режиме, но не стандартным виндовым клиентом, а хоть тем же фаром. Так в том то и дело, что Фаром не работает ни в активном, ни в пассивном! В пассивном режиме пишет такое: <- 215 UNIX Type: L8 -> PWD <- 257 "/home/v" -> REST 0 <- 350 Restart position accepted (0). -> PASV <- 227 Entering Passive Mode (192,168,1,3,51,56) ----------------------------------------- 16:45:23 "Requesting folder name" [71.247.203.207 -> 71.247.203.207]     :LOOP Немного повисев в таком состоянии он пишет No transfer to ABOR. И показывает мне пустую дерикторию. При попытке ее сменить, получаем следующее: -> CWD .. <- 250 Directory successfully changed. -> PWD <- 257 "/" -> PASV <- 227 Entering Passive Mode (192,168,1,3,240,122) ----------------------------------------- 17:13:07 "Requesting folder name" [71.247.203.207 -> 71.247.203.207]   И так до бесконечности (goto LOOP)   В локалке все работает нормально. Я так думаю, что в локалке они передают таки данные по 20-му порту. А тут не могут договориться насчет 2020 и тоже пытаются по 20-му. А он закрыт. Только не пойму, клиент виноват или сервер. Но ведь люди как-то настраивают фтп на нестрандарных портах!   Добавлено: Забыл уточнить. Цитата: Есть машина, на которой блокированы порты 20 и 21 Имеется ввиду удаленная машина. Т.е. 20-й и 21-й порты блокированы у провайдера. Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 01:19 20-07-2005 | Исправлено: vii, 01:22 20-07-2005

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vii В пассивном режиме удаленная машина не пытается соединиться на твой порт (который ты указываешь командой port), а открывает порт у себя, к которому пытается присоединиться твой клиент. В первом случае это был порт 13112 (192,168,1,3,51,56), а во втором -- 61562 (192,168,1,3,240,122). Оба на машине с адресом 192.168.1.3, которая в нормальных условиях не должна быть доступна через интернет из-за своего адреса. Поэтому я делаю вывод, что скорее всего машина находится за шлюзом, на котором настроен проброс портов. Если это так, то откуда шлюзу было знать, что было необходимо пробрасывать эти порты? Более того, даже если я не угадал про проброс портов и шлюз, твоя машина пыталась установить соединение с хостом 192.168.1.3. А теперь вопрос -- на всем пути, начиная с твоей машины, настроена ли маршрутизация до этого хоста? Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 07:59 20-07-2005

vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Спасибо. Кое-что начинает вырисовываться. Цитата: машина находится за шлюзом, на котором настроен проброс портов. Совершенно верно. Там настроено перекидывать внешние запросы по портам 2020 и 2021 на 192.168.1.3. Цитата: откуда шлюзу было знать, что было необходимо пробрасывать эти порты Т.е. правильно ли я понимаю? Мне надо в vshtpd.conf указать, к примеру: pasv_min_port=2022 pasv_max_port=2030 А на шлюзе пробрасывать эти порты на 192.168.1.3 Цитата: твоя машина пыталась установить соединение с хостом 192.168.1.3. А теперь вопрос -- на всем пути, начиная с твоей машины, настроена ли маршрутизация до этого хоста? Я соединяюсь с внешним IP раутера, а он видит, что порт 2021 и перекидывает во внутреннюю сеть на фтп-сервер. Вроде логично... Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 17:37 20-07-2005

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vii Цитата: Совершенно верно. Там настроено перекидывать внешние запросы по портам 2020 и 2021 на 192.168.1.3... Я соединяюсь с внешним IP раутера, а он видит, что порт 2021 и перекидывает во внутреннюю сеть на фтп-сервер. Это значит, что для соединения с этим сервером в:   А) активном режиме, если клиент не имеет "белого" адреса и находится внутри сети за шлюзом, необходимо научить NAT на этом шлюзе, что командные соединения с FTP происходят не только на порт 21, но и на 2021, чтобы NAT атоматически пробрасывал порты, открываемые на клиентской машине в течение сеанса по команде PORT или EPRT, на данную клиентскую машину. А именно тебе надо научить ip_nat_ftp, коль скоро у тебя iptables, -- у этого модуля есть параметр ports, в котором можно перечислить до 8 портов, на которых необходимо осуществлять мониторинг командного канала ftp. По умолчанию этот модель отслеживает только соединения на порт 21.  Проблема: это необходимо проделать всем клиентам (1 раз на каждый шлюз), планирующим соединения с данным сервером в активном режиме.   Б) пассивном режиме необходимо научить NAT на шлюзе, отделяющем FTP-сервер от глобальной сети, анализировать командный канал FTP на порту 2021 (отслеживать ответы на команды PASV и EPSV), чтобы автоматически пробрасывать порты, открываемые на данном FTP-сервере в течение сессии с клиентом, на данный FTP-сервер. Если NAT на шлюзе не умеет следить за командным каналом FTP, то можно настроить статический проброс определенного диапазона портов на данный FTP-сервер. vsftpd имеет параметры pasv_min_port и pasv_max_port для настройки диапазона портов, открываемых в пассивном режиме, а также pasv_address для настройки адреса, передаваемого при включении пассивного режима. Например: Код: pasv_min_port=50000 pasv_max_port=60000 pasv_address=внешний адрес шлюза Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:48 20-07-2005 | Исправлено: ooptimum, 22:57 20-07-2005

vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Спасибо! Помогло! Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 23:16 20-07-2005

vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Такой еще вопрос. Я так понимаю, что если другой компьютер из моей сети будет, к примеру, лазить по сайтам в интернете, и кто-то захочет подключиться к нему на темпорари порт из диапазона, который перебрасывается на фтп-сервер, то получится обломс-с-с. Отсюда вопрос, какой диапазон мне лучше использовать? Брать адреса повыше и не очень много? Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 08:24 21-07-2005

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vii Такой вариант возможен при настройках по умолчанию. Для того, чтобы этого избежать, имеется возможность задавать используемый NAT-ом диапазон портов. Для таргета SNAT есть параметр "--to-source <ipaddr>[-<ipaddr>][:port-port]", а для MASQUERADE -- "--to-ports <port>[-<port>]", в которых ты и можешь задать диапазон портов, который не будет пересекаться с диапазоном от vsftpd. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 16:02 24-07-2005

vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А у меня НАТ обеспечивается раутером (в смысле железякой). Там вроде такого нет. Или я что-то не так понял? Т.е. топология такая: Есть ДСЛ-модем (он же раутер) с несколькими изернет-портами. И сетка в эти порты воткнута. Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 09:14 29-07-2005

jacktheripper Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Зайди в модем и сделай переброс портов если он (модем) работает как роутер Какой у тя ADSL-модем? Всего записей: 4 | Зарегистр. 27-01-2004 | Отправлено: 01:56 30-07-2005 | Исправлено: jacktheripper, 02:02 30-07-2005

vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Так переброс портов я и так сделал. У меня сейчас 2021-2030 уходят на фтп.   vsftpd.conf: listen_port=2021 pasv_min_port=2022 pasv_max_port=2030   Все работает. Просто я имею в виду, что другая машина из моей сети может общаться с каким-нибудь внешним хостом и попросить коннекшн на порт 2025. А этот коннекшон пойдет не к ней, а на фтп. Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 02:48 30-07-2005

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vii Какой модем? В Д-линках, например, можно указать диапазон портов для SNAT. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 12:22 30-07-2005

vii Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Нечто вроде этого http://westell.com/content/sales/327W.pdf Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 19:24 30-07-2005

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » vsftpd

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование