Настройка iptables для vsftpd

0

2

Filezilla не может подключиться к vsftpd.

lftp может подключиться и даже ходить по директориям с помощью cd, но не может получить вывод ls:

lftp ftp://example.com/
cd ok, cwd=/                          
lftp example.com:/> ls
`ls' at 0 [Making data connection...]

Но можно подключиться с помощью простого клиента ftp, если ввести юзера ftp, и даже сделать get.

Если сделать iptables -F, то все они сразу подключаются и работают хорошо.

Настройки в iptables:

-A INPUT -p tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp --sport 20 -j ACCEPT

Конфиг vsftpd:

chroot_local_user=YES
connect_from_port_20=NO
hide_ids=YES
idle_session_timeout=120
listen=YES
local_enable=NO
log_ftp_protocol=yes
ls_recurse_enable=YES
write_enable=NO

Вопросы:

1 - что нужно исправить в iptables?

2 - почему разные клиенты ведут себя по-разному?

p.s.: что касается FTP в ядре:

CONFIG_NF_CONNTRACK_FTP=y
# CONFIG_NF_CONNTRACK_TFTP is not set
CONFIG_NF_NAT_FTP=m
# CONFIG_NF_NAT_TFTP is not set

Ссылка

←	Не работает настройка через FreePBX. Настройка сообщения о недоступности абонента, если он отключил телефон — как быть?

Маршрутизация, 2 корпуса

→

modprobe nf_conntrack_ftp
modprobe nf_nat_ftp
iptables A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

anc ★★★★★
(04.11.16 19:04:45 MSK)
Последнее исправление: anc 04.11.16 19:06:12 MSK (всего исправлений: 1)

Ссылка

Правило на OUTPUT избыточно, если без извращений.
nf_nat_ftp нужен только на шлюзе.

ArcFi ★
(04.11.16 21:06:52 MSK)

Ссылка

Тебе нужно разрешить в конфиге 20 порт и открыть доступ к нему. в конфиг

connect_from_port_20=YES

в пакетный фильтр

iptables -A INPUT -p tcp --dport 20 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT


или так
в конфиг к примеру

pasv_enable=YES
pasv_max_port=40050
pasv_min_port=40000


в пакетный фильтр

iptables -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 40000:40050 -m conntrack --ctstate NEW -j ACCEPT # FTP DATA

anonymous
(07.11.16 11:41:04 MSK)

Ответ на: комментарий от anonymous 07.11.16 11:41:04 MSK

Всё работает! один вопрос только: какой д.б. минимальный диапазон 40000:40050? Нагрузка на сервер минимальнейшая, практически единичные загрузки.

Deleted
(08.11.16 17:32:56 MSK)

Ответ на: комментарий от anonymous 07.11.16 11:41:04 MSK

Извращенец. RELATED для этого есть. А если у ТС на 40000:40050 что-то другое окажется?

anc ★★★★★
(08.11.16 18:50:15 MSK)

Ответ на: комментарий от Deleted 08.11.16 17:32:56 MSK

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

ArcFi ★
(08.11.16 19:24:35 MSK)

Ссылка

Ответ на: комментарий от anc 08.11.16 18:50:15 MSK

LOL

anonymous
(09.11.16 09:33:27 MSK)

Ссылка

Ответ на: комментарий от Deleted 08.11.16 17:32:56 MSK

зависит от кол-ва одновременно подключенных пользователей. т.е 21 упрвляющий и один порт из диапазона 40000:40050. В примере одновременно могут находится 50 пользователей. И кстати пример я тебе привел для политики

INPUT DROP
FORWARD DROP
OUTPUT ACCEPT

anonymous
(09.11.16 09:47:36 MSK)

Ответ на: комментарий от anonymous 09.11.16 09:47:36 MSK

Не 50 а не больше 51-одного, возможно меньше. И не находится, а что-то скачивать переходить из каталога в каталог &etc, не все команды требуют открытия порта с данным, например chmod.

anc ★★★★★
(09.11.16 17:05:29 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не работает настройка через FreePBX. Настройка сообщения о недоступности абонента, если он отключил телефон — как быть?

Admin

Маршрутизация, 2 корпуса

→

Похожие темы