Sprzęt > Monitory
Problem z odświeżaniem :]
pabloroz:
Witam
Mam postawionego Linucha Mandrake 10.1 oraz iptables. Komputer służy za serwer oraz routerek. Maskarada działa.
Postawiłem ostatnio serwer FTP o nazwie ProFTPd. Kiedyś wcześniej sie nim bawiłem i nie miałem problemu, teraz coś znów nie działa. Skonfigurowałem konto usera, stworzyłem katalog nadałem uprawnienia.
I jak przychodzi połączyć się na tego użytkownika spoza sieci lokalnej do w trybie aktywnym i pasywnym otrzymuję komunikat 500 ILLEGAL PORT COMMAND. W passivie nie chcę otwierać dodatkowych portów - więc chcę, aby serwer chodził na active.
Jeżeli chodzi o moduły, to zarówno ip_conntrack, ip_nat_ftp jak i ip_conntrack_ftp są załadowane.
Proszę o pomoc w rozwiązaniu tego problemu.
Pozdrawiam.
jezior:
2006-03-30 12:53:46 pabloroz napisał:
> W passivie nie chcę otwierać dodatkowych
> portów - więc chcę, aby serwer chodził na active.
> Jeżeli chodzi o moduły, to zarówno ip_conntrack, ip_nat_ftp jak i ip_conntrack_ftp są
> załadowane.
> Proszę o pomoc w rozwiązaniu tego problemu.
iptables -nL #i popatrz co nakombinowałeś.
pabloroz:
Już mówię, jak to wygląda:
W zaporze mam ustawioną domyślną politykę na łańcuchach INPUT i OUTPUT na DROP
Natępinie otwieram ruch na portach w następujący sposób:
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 113 -j ACCEPT
iptables -A INPUT -p tcp --dport 113 -j ACCEPT
Na tej samej zasadzie działa serwer www, których chodzi.
Jeżeli chodzi o wylistowanie polityki do otrzymuję, że zarówno dla łąńcucha IMPUT jak i OUTPUT ruch:
dpts:ftp-data:ftp jest ACCEPT na INPUT
spts:ftp-data:ftp jest ACCEPT na OUTPUT
jezior:
2006-03-30 13:27:24 pabloroz napisał:
> Już mówię, jak to wygląda:
A wiesz jak to wyglada od strony klienta?
Klient jest napewno za firewallem+NAT. Jedyny sposob w jaki sie moze komunikowac z ftp jest passive. Ty passive \\"wyciąłeś\\"
Teraz chwytasz co nakombinowales?
pabloroz:
W takim układzie popraw mniej, jeżeliźle myślę.
Jeżeli serwer FTP jes nawet na tej samej maszynie, na której jest NAT, to połączenie w trybie aktywnym na porty 20 i 21 możliwe jest jedynie, jeżeli klient FTP nie jest za natem - ma adres globalny?
Jeżeli jest za NATem, to połączenie jest możliwe tylko w trybie pasywnym??
Może się mylę, ale wydaje mi się że jakiś rok temu było tak, że łączyłem się z tym FTPem w activie też będąc za NATem, ale nie pamiętam dokładnie.
W związku z tym muszę w PROFTPD ustawić zakres portów pasywnych i na łańcuchach INPUT i OUTPUT te łańcuchy dopuścić??
Jeżeli tak, to jaki może być najmniejszy możliwy zakres otwartych portów dla trybu pasywnego??
Nawigacja
[#] Następna strona
Idź do wersji pełnej