Sprzęt > Monitory

Problem z odświeżaniem :]

(1/3) > >>

pabloroz:
Witam

Mam postawionego Linucha Mandrake 10.1 oraz iptables. Komputer służy za serwer oraz routerek. Maskarada działa.
Postawiłem ostatnio serwer FTP o nazwie ProFTPd. Kiedyś wcześniej sie nim bawiłem i nie miałem problemu, teraz coś znów nie działa. Skonfigurowałem konto usera, stworzyłem katalog nadałem uprawnienia.
I jak przychodzi połączyć się na tego użytkownika spoza sieci lokalnej do w trybie aktywnym i pasywnym otrzymuję komunikat 500 ILLEGAL PORT COMMAND. W passivie nie chcę otwierać dodatkowych portów - więc chcę, aby serwer chodził na active.
Jeżeli chodzi o moduły, to zarówno ip_conntrack, ip_nat_ftp jak i ip_conntrack_ftp są załadowane.

Proszę o pomoc w rozwiązaniu tego problemu.
Pozdrawiam.

jezior:
2006-03-30 12:53:46 pabloroz napisał:

> W passivie nie chcę otwierać dodatkowych
 > portów - więc chcę, aby serwer chodził na active.
 > Jeżeli chodzi o moduły, to zarówno ip_conntrack, ip_nat_ftp jak i ip_conntrack_ftp są
 > załadowane.
 > Proszę o pomoc w rozwiązaniu tego problemu.

iptables -nL #i popatrz co nakombinowałeś.

pabloroz:
Już mówię, jak to wygląda:

W zaporze mam ustawioną domyślną politykę na łańcuchach INPUT i OUTPUT na DROP

Natępinie otwieram ruch na portach w następujący sposób:

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 113 -j ACCEPT
iptables -A INPUT -p tcp --dport 113 -j ACCEPT

Na tej samej zasadzie działa serwer www, których chodzi.

Jeżeli chodzi o wylistowanie polityki do otrzymuję, że zarówno dla łąńcucha IMPUT jak i OUTPUT ruch:
dpts:ftp-data:ftp jest ACCEPT na INPUT
spts:ftp-data:ftp jest ACCEPT na OUTPUT

jezior:
2006-03-30 13:27:24 pabloroz napisał:

> Już mówię, jak to wygląda:

A wiesz jak to wyglada od strony klienta?
Klient jest napewno za firewallem+NAT. Jedyny sposob w jaki sie moze komunikowac z ftp jest passive. Ty passive \\"wyciąłeś\\"

Teraz chwytasz co nakombinowales?

pabloroz:
W takim układzie popraw mniej, jeżeliźle myślę.

Jeżeli serwer FTP jes nawet na tej samej maszynie, na której jest NAT, to połączenie w trybie aktywnym na porty 20 i 21 możliwe jest jedynie, jeżeli klient FTP nie jest za natem - ma adres globalny?
Jeżeli jest za NATem, to połączenie jest możliwe tylko w trybie pasywnym??

Może się mylę, ale wydaje mi się że jakiś rok temu było tak, że łączyłem się z tym FTPem w activie też będąc za NATem, ale nie pamiętam dokładnie.

W związku z tym muszę w PROFTPD ustawić zakres portów pasywnych i na łańcuchach INPUT i OUTPUT te łańcuchy dopuścić??
Jeżeli tak, to jaki może być najmniejszy możliwy zakres otwartych portów dla trybu pasywnego??

Nawigacja

[0] Indeks wiadomości

[#] Następna strona

Idź do wersji pełnej