LINUX.ORG.RU
ФорумAdmin

proftpd неработает после настройки iptables

 , , , ,


0

1

Всем доброго времени суток :) Ситуация такая, был настроен iptables, по умолчанию все порты закрыты. Конечно же добавил исключения в iptables в том числе и на порт от ФТП. Что же происходит? Вот лог при подключение:

Статус: Соединяюсь с xxx.xxx.xxx.xxx:7000...
Статус: Соединение установлено, ожидание приглашения...
Статус: Небезопасный сервер, не поддерживает FTP через TLS.
Статус: Соединение установлено
Статус: Получение списка каталогов...
Команда: PWD
Ответ: 257 "/" is the current directory
Команда: TYPE I
Ответ: 200 Type set to I
Команда: PASV
Ответ: 227 Entering Passive Mode (xxx,xxx,xx,xxx,223,211).
Команда: MLSD
Ошибка: Превышено время ожидания соединения
Ошибка: Не удалось получить список каталогов
Что вообще происходит то? Мож ещё какие порты надо открыть?



Последнее исправление: Klymedy (всего исправлений: 2)

Открой следующее:

  • Порт 21
  • Все порты от 49151 и до 65535 — иначе пассивный ftp (умолчальный по-моему) работать не будет.
beastie ★★★★★
()
Ответ на: комментарий от BMW

попробуй добавить

iptables -A INPUT -p tcp -m multiport --dports 21,49152:65534 -j ACCEPT

CHIPOK ★★★
()
Ответ на: комментарий от CHIPOK

Меня не устраивает вариант с этими портами, нужно открыть только 1, а не 1000 портов. Есть варианты?

BMW
() автор топика
Ответ на: комментарий от BMW

религия не позволяет, я те даже написал как одной командой открыть?

Команда: PASV
Ответ: 227 Entering Passive Mode (xxx,xxx,xx,xxx,223,211).
Команда: MLSD

CHIPOK ★★★
()
Ответ на: комментарий от CHIPOK

Спасибо за команду, но мне команды не нужны. Хватило бы и списка портов. Просто хочется, чтобы для FTP висел один порт и не более. Так как в системе все порты зарыты и на то есть причины.

BMW
() автор топика
Ответ на: комментарий от CHIPOK
0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 49152:65534

А порт который вместо 21 уже проброшен и в конфиге прописан.

BMW
() автор топика
Ответ на: комментарий от BMW

Ну у тебя интерфейс на котором слушает proftpd наружу торчит и ты к нему именно и цепляешься клиентом?

попробуй попростому )

iptables -A INPUT  -p tcp -m tcp --dport 20 -j ACCEPT

Acceptor ★★
()
Ответ на: комментарий от BMW

А где 21 порт? Смотри для активного режима нужны такие правила:

-A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
Для пассивного я те уже писал. но 21 нужен в любом случае. Что ты за ахинею вынес, для обьективного анализа нужно глянуть всю цепочку правил, конспирант ты...

CHIPOK ★★★
()
Последнее исправление: CHIPOK (всего исправлений: 1)
Ответ на: комментарий от Acceptor

он еще на вики не прочитал что такое NAT )))

CHIPOK ★★★
()
Ответ на: комментарий от Acceptor

я даже внимания не обратил, у чувака явно паранойя

CHIPOK ★★★
()
Ответ на: комментарий от BMW

Попробуй еще раз отрубить PassivePorts, проверить настройки filezilla и добавь правила:

iptables -A INPUT -p tcp --dport 7000 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
Acceptor ★★
()
Последнее исправление: Acceptor (всего исправлений: 1)

В твоем случае спасет только sftp. Объясняй свои «должен быть открыт один порт» своим клиентам, а не звезди про фтп. Плюс, не знание активный/пассивный режим в ftp — твоя проблема. Без пассивного режима (опять же фантастику один порт + пассивный режим на фтп рассказывай клиентам) можно обойтись 2 портами.

gh0stwizard ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.