| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
 Добавлено: Вт Янв 10 2006 12:52 Заголовок сообщения: не понятка с vsftpd |
 |
|
Стоит vsftpd (из FC3), подключаюсь к нему, авторизуюсь, пытаюсь получить списко файлов, а в ответ получаю:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,1,1,75,203)
ftp: connect: No route to host
В чем может быть трабл? |
|
| Вернуться к началу |
|
 |
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Вт Янв 10 2006 13:05 Заголовок сообщения: Re: не понятка с vsftpd |
|
|
| PashaP писал(а): | Стоит vsftpd (из FC3), подключаюсь к нему, авторизуюсь, пытаюсь получить списко файлов, а в ответ получаю:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,1,1,75,203)
ftp: connect: No route to host
В чем может быть трабл? |
что в логах? фаервол? |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 10 2006 13:13 Заголовок сообщения: |
|
|
| В логах ничего, фаервол - дык соединение же проходит? |
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Вт Янв 10 2006 13:20 Заголовок сообщения: |
|
|
Подключаетесь Вы по порту 21, а данные в пассивном режиме идут по не привелигированным портам. Так что копайте файрвол.
_________________
Каков вопрос, таков ответ. |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 10 2006 13:31 Заголовок сообщения: |
|
|
| Тогда какие порты нужно открывать? |
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Вт Янв 10 2006 19:35 Заголовок сообщения: |
|
|
vsftpd я ни разу не ковырял. Если замарачиваться лень, то настраиваете его на работу в активном режиме и файрволом разруливаете 20 порт. Если не лень тогда настраиваете файрвол на ведение логов по всем заблокированным портам, вычленяете по времени а IP адресам номера портов заблокированных при попытках работы в пассивном режиме и открываете обязательно диапазон портов от минимального до + скажем пара тысяч. Потом смотрите как все работает. Если спустя какоето время опять все ляжет, то опять идете в логи и опять и опять...  Ну Вы поняли. Все это связано с тем что не привилегированные порты используются в системе не только пассивным ФТП, но и остальными сервисами (демонами) и в зависимости от сервера диапазоны могут существенно отличаться. Есть правда "счастливые" у который сам ФТП сервер позволяет настроить какой диапазон портов использовать в пассивном режиме, со всеми вытекающими вкусностями (Я пока знаю только один такой ФТП сервер и работает он не под Юниксом).
Удачи.
_________________
Каков вопрос, таков ответ. |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Ср Янв 11 2006 02:37 Заголовок сообщения: |
|
|
| PashaP писал(а): | | Тогда какие порты нужно открывать? |
вообще выше 1024 |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 14:13 Заголовок сообщения: |
|
|
Блин, никак не пойму что еще не хватает 
Вот что имеется:
Таблица: filter
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT udp -- 192.168.1.0/24 192.168.1.255
ACCEPT tcp -- 192.168.1.0/24 serv tcp dpt:pop3
ACCEPT tcp -- 192.168.1.0/24 serv tcp dpt:netbios-ssn
ACCEPT tcp -- 192.168.1.0/24 serv tcp dpt:netbios-dgm
ACCEPT tcp -- 192.168.1.0/24 serv tcp dpt:netbios-ns
ACCEPT udp -- 192.168.1.0/24 serv udp dpt:netbios-ssn
ACCEPT udp -- 192.168.1.0/24 serv udp dpt:netbios-dgm
ACCEPT udp -- 192.168.1.0/24 serv udp dpt:netbios-ns
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp spt:ftp-data dpts:1024:65535
ACCEPT tcp -- anywhere anywhere tcp spt:ftp-data state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:ftp state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpts:1024:65535 state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 14:14 Заголовок сообщения: |
|
|
| Выключаю firewall все работает... |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 14:40 Заголовок сообщения: |
|
|
вот что у меня на шлюзе:
$IPTABLES -A tcp_packets -p TCP -m TCP -s 193.168.6.0/24 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -m TCP -s 193.168.6.0/24 --dport 20 -j allowed
FTP-сервер находица в Питере, сам я в Омске. При установлении соединения ставим соединяться в пассивном режиме!
Все работает!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 15:50 Заголовок сообщения: Re: не понятка с vsftpd |
|
|
| PashaP писал(а): | Стоит vsftpd (из FC3), подключаюсь к нему, авторизуюсь, пытаюсь получить списко файлов, а в ответ получаю:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,1,1,75,203)
ftp: connect: No route to host
В чем может быть трабл? |
А не пробовали после первого приглашения ftp> (после login successful) ввести команду passive ?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 15:55 Заголовок сообщения: |
|
|
так что? Не слышу...
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 16:10 Заголовок сообщения: |
|
|
ftp> passive
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
а дальше молчание... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 16:13 Заголовок сообщения: |
|
|
| PashaP писал(а): | ftp> passive
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
а дальше молчание... |
короче - зайди на свой фтп из графического клиента(нуTotal Commander что ли) и не забудь в настройках соединения указать "использовать пассивный режим" - потом результат сюда.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 16:24 Заголовок сообщения: |
|
|
ну вот например:
Попытка 192.168.1.1:21
Подключение к 192.168.1.1:21
220 (vsFTPd 1.2.1)
USER petja
331 Please specify the password.
PASS xxxx
230 Login successful.
SYST
215 UNIX Type: L8
TYPE I
200 Switching to Binary mode.
PWD
257 "/home/petja"
Loading directory listing /home/petja from server (LC_TIME=ru_RU.UTF-
PASV
227 Entering Passive Mode (192,168,1,1,235,59)
Невозможно создать соединение для передачи данных: Нет пути до хоста
Отключение от сервера 192.168.1.1
Вотс...
Еще раз, если на серваке /etc/rc.d/init/ipctables stop
То потом все ок работает |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 16:28 Заголовок сообщения: |
|
|
я не понял....все работает кроме листинга каталога??
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 16:31 Заголовок сообщения: |
|
|
| dio писал(а): | | я не понял....все работает кроме листинга каталога?? |
именно |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 16:33 Заголовок сообщения: |
|
|
| PashaP писал(а): | | dio писал(а): | | я не понял....все работает кроме листинга каталога?? |
именно |
Ты ИЗДЕВАЕШЬСЯ НАД НАМИ??? 
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 16:43 Заголовок сообщения: |
|
|
Нет 
Дык что я не так делаю? |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 16:45 Заголовок сообщения: |
|
|
| PashaP писал(а): | Нет
Дык что я не так делаю? |
я просил тебя зайти под графичсеким клиентом на тот фтп сервак - все пучком работает??
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 16:54 Заголовок сообщения: |
|
|
Авторизация пучком (дык она и так пучком) а вот дальше хер.
Причем виноват Firewall на серваке... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 16:56 Заголовок сообщения: |
|
|
| PashaP писал(а): | Авторизация пучком (дык она и так пучком) а вот дальше хер.
Причем виноват Firewall на серваке... |
Я еще раз тебя спрашиваю...ты заходил под графичсеким клиентом туда??? Причем тут авторизация?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 17:00 Заголовок сообщения: |
|
|
Под графическим. И где там пучком
200 Switching to Binary mode.
PWD
257 "/home/petja"
Loading directory listing /home/petja from server (LC_TIME=ru_RU.UTF-Cool
PASV
227 Entering Passive Mode (192,168,1,1,235,59)
Невозможно создать соединение для передачи данных: Нет пути до хоста
Тоже самое если ручками |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 17:04 Заголовок сообщения: |
|
|
а без листинга директории upload/download работают?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 17:11 Заголовок сообщения: |
|
|
графический сразу же отсоединяется, а ручками при попытке послать получаем
227 Entering Passive Mode (192,168,1,1,43,232)
ftp: connect: No route to host
так что не работают |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 17:14 Заголовок сообщения: |
|
|
а говоришь, что ВСЕ работает....кроме листинга...
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 17:17 Заголовок сообщения: |
|
|
Получается не все...
и чего ему не хватает? |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 17:32 Заголовок сообщения: |
|
|
я подумал было, что ты не можешь ТОЛЬКО листинг получить из - за проблем с кодировками в командной строке, что там у тебя UTF_RU было?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Вт Янв 17 2006 18:36 Заголовок сообщения: |
|
|
проблема не с кодировками...
проблема в том, что нужно еще что-то открыть на фаерволле, а вот что.. |
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Вт Янв 17 2006 19:31 Заголовок сообщения: |
|
|
Нарисуйте сюда схему Вашей сети с IP адресами и указанием где что стоит (файрвол, маршрутизатор, NAT, прокси, FTP) и где клиенты с каких адресов подключаются.
_________________
Каков вопрос, таков ответ. |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Ср Янв 18 2006 06:10 Заголовок сообщения: |
|
|
Проверьте соответствие со сследующим:
| Цитата: |
/etc/vsftpd.conf:
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
xferlog_enable=YES
connect_from_port_20=NO
one_process_model=NO
nopriv_user=ftp
ftpd_banner=TEST FTP SERVER TEST.PashaP.INFO
chroot_local_user=YES
В нем строка:
listen=YES
предписывает запускать vsftpd в качестве автономного демона.
Строка:
anonymous_enable=NO
запрещает доступ анонимным пользователям.
Строка:
local_enable=YES
разрешает доступ пользователям, прошедшим аутентификацию.
Строка:
write_enable=YES
разрешает осуществлять запись в пользовательские каталоги.
Строка:
local_umask=022
определяет права доступа к вновь создаваемым пользователями файлам. Значение 022 соответствует правам
доступа -rw-r--r--.
Строка:
xferlog_enable=YES
предписывает регистрацию загрузки vsftpd и файлов с FTP-сервера пользователями в файлы каталога
/var/log/messages.
Строка:
connect_from_port_20=NO
позволяет выполнять vsftpd с меньшими правами доступа, однако некоторые клиенты могут требовать под-
ключения на 20 порту. Попробуйте запускать свой сервер с отключенной опцией
connect_from_port_20, если возникнут проблемы, то включите ее.
Строка:
one_process_model=NO
По умолчанию vsftpd обслуживает соединение двумя процессами. На сильно загруженных FTP-серверах это
может привести к падению производительности. Поэтому, если ваш FTP-сервер поддерживает большое чис-
ло пользователей, лучше разрешить эту опцию, т. е. изменить установленное нами значение "no" на "yes".
Строка:
nopriv_user=ftp
Часть 9. Программное обеспечение для организации службы FTP-сервера 486
определяет имя пользователя, от имени которого запускается vsftpd.
Строка:
ftpd_banner=TEST FTP SERVER TEST.PashaP.INFO
определяет содержание строкового сообщения, отображаемого при подключении FTP-клиента к серверу.
Строка:
сhroot_local_user=YES
предписывает перемещение пользователя сервера в свой домашний каталог сразу же после регистрации на
сервере. В этом случае пользователи не смогут заходить в каталоги других пользователей.
Этот файл используется для определения списка пользователей, для которых доступ к FTP-серверу закрыт. Здесь следует отразить всех привилегированных пользователей вашей системы.
/etc/ftpusers
root;
bin;
daemon;
sync;
mail;
nobody;
named;
rpm;
www;
mysql.
Для того, чтобы пользователь мог установить соединение с FTP-сервером необходимо создать соответствующую учетную запись. Для этого необходимо выполнить следующие операции.
Создайте учетную запись для пользователя, например PashaP, которому будет разрешен доступ к
FTP-серверу:
[root@test /]# ureradd -g urers -d /home/PashaP -s /bin/false PashaP
Задайте пароль для пользователя PashaP:
[root@test /]# passwd PashaP
Changing password for user PashaP
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully
|
Если вы так уверены что дело в фаерволе, то не нужно его отключать, а просто удалите все правила, а потом добавьте новые которые будут говорить о том что, все и везде можно!!!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Ср Янв 18 2006 17:08 Заголовок сообщения: |
|
|
| sedfom писал(а): | | Нарисуйте сюда схему Вашей сети с IP адресами и указанием где что стоит (файрвол, маршрутизатор, NAT, прокси, FTP) и где клиенты с каких адресов подключаются. |
В данном случае все просто. FTP сервер стоит внутри сети с адресом х.х.х.1, и в данном случае клиент идет с х.х.х.12
По дороге ничего больше нет. |
|
| Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Ср Янв 18 2006 17:57 Заголовок сообщения: |
|
|
А клиент поддерживает пассивный режим?
Как вариант диагностики можно послушать разговор клиента с сервером, напр., с помощью ethereal или tcpdump. Тогда будет ясно, что куда (на какой порт) идет, и что из этого не проходит. |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Чт Янв 19 2006 12:05 Заголовок сообщения: |
|
|
Клиент поддерживает.
Послушать попробую. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
