VSFTPD + виртуальные пользователи + SSL

0

1

Доброго времени суток всем! Ситуация следующая: имеется сервер (debian 9) на котором работает vsftpd с виртуальными пользователями (все работает без ssl), локальные отключены. Разграничение прав, в т.ч. по каталогам настроено и работает как надо. Задача стоит в том чтобы добавить ssl шифрование (сертификат самоподписанный) в целях безопасности (ftps), но тут возникла проблема, а именно получаю ошибку 500 illegal PORT command. Подключаться (на удаленной windows машине) пробовал и через total commander и filezilla - без результатно.

Привожу конфиг vsftpd:
# main
dirmessage_enable=YES
connect_from_port_20=YES
ftpd_banner=Welcome to Copy-Paste FTP service.
listen=YES
ftp_username=ftp
nopriv_user=nobody
use_localtime=YES
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=49999
force_dot_files=YES
ascii_upload_enable=YES
ascii_download_enable=YES

# logging
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=NO
log_ftp_protocol=YES

# local users
local_enable=YES

# anonymous access
anonymous_enable=NO

# Имя службы PAM 
pam_service_name=vsftpd.virtual

# Путь к домашним каталогам виртуальных пользователей
user_config_dir=/etc/vsftpd/

# Скрываем реальные ID пользователей от посторонних глаз
hide_ids=YES

# Ремаппинг неанонимных пользователей "гостевой" учётной записи
guest_enable=YES

# Виртуальные пользователи пользуются такими же привилегиями, что и локальные
virtual_use_local_privs=YES

#Настройка SSL/TCL
ssl_enable=YES
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
force_local_data_ssl=NO
force_local_logins_ssl=NO
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH

а также iptables -S:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 40000:49999 -m conntrack --ctstate NEW -j ACCEPT

Прошу помощи!!!

P.S. Пиво обещаю!

Ссылка

←	Чушь с правами

rsync --exclude vs --filter

→

Во-первых, что у Вас с портами 990 и 989? Во-вторых, эта ошибка

500 illegal PORT command.

указывает на проблемы клиентов, которые не понимают расширения ssl. Через браузер удается получить доступ к серверу?

Serge10 ★★★★★
(07.05.18 15:15:48 MSK)

Ответ на: комментарий от Serge10 07.05.18 15:15:48 MSK

Порты 990 и 989 были закрыты (предполагал что нужны только 20,21 и 443). Пробросил (в iptables тоже добавил), ситуация не изменилась (ошибка та же). На сколько понимаю диапазон 40000:49999 пробрасывать не нужно.

Повторюсь подключиться могу только если применяю параметр ssl_enable=NO и только через Total Commander. Браузер (использую синтаксис ftp://login@host/) запрашивает пароль и выдает ошибку 425 FAILED TO ESTABLICH CONNECTION.

А вот через браузер при попытке подключиться через ftps (синтаксис ftps://login@host/) получаю в ответ не знание протокола ftps.

kapella13
(07.05.18 22:13:59 MSK) автор топика

Ответ на: комментарий от kapella13 07.05.18 22:13:59 MSK

force_local_data_ssl=YES force_local_logins_ssl=YES

smokin
(09.05.18 07:50:37 MSK)

Ответ на: комментарий от smokin 09.05.18 07:50:37 MSK

Исправил значения на YES. Безрезультатно... Ошибка та же.

kapella13
(09.05.18 13:03:01 MSK) автор топика

Ответ на: комментарий от kapella13 09.05.18 13:03:01 MSK

ммм...давно настраивал, работает лет 5 без нареканий... в общем вот моя секция конфига, отвечающая за ssl.

 
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/vsftpd.pem
session_support=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH

smokin
(11.05.18 16:56:40 MSK)

Ссылка

Ответ на: комментарий от kapella13 09.05.18 13:03:01 MSK

и ненужны тебе никакие порты для подкл. кроме 21, 20 для активн. режима, или 21, твой диапазон, для пассивного. А вот так выглядит лог подключения filezilla

 
Статус:	Определение IP-адреса для *******
Статус:	Соединяюсь с *********:21...
Статус:	Соединение установлено, ожидание приглашения...
Статус:	Инициализирую TLS...
Статус:	Проверка сертификата...
Статус:	TLS соединение установлено.
Статус:	Авторизовались
Статус:	Получение списка каталогов...
Статус:	Список каталогов "/" извлечен

smokin
(11.05.18 17:15:59 MSK)

Ссылка

а покажи еще iptables -L -n -v

smokin
(11.05.18 17:37:52 MSK)

Ответ на: комментарий от smokin 11.05.18 17:37:52 MSK

Вывожу iptables -L -n -v

Chain INPUT (policy ACCEPT 493 packets, 47574 bytes)
 pkts bytes target     prot opt in     out     source               destination    
 1831  148K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
  269 15630 f2b-apache2  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
  269 15630 f2b-apache2ddos  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
   49  1996 f2b-VSFTPD  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
  186  9512 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 ctstate NEW
    5   220 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:20 ctstate NEW
  290 14836 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW
    7   364 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:40000:49999 ctstate NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:989 ctstate NEW
   21  1064 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:990 ctstate NEW

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination    

Chain OUTPUT (policy ACCEPT 424 packets, 74059 bytes)
 pkts bytes target     prot opt in     out     source               destination    

Chain f2b-VSFTPD (1 references)
 pkts bytes target     prot opt in     out     source               destination    
   49  1996 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0      

Chain f2b-apache2 (1 references)
 pkts bytes target     prot opt in     out     source               destination    
  269 15630 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0      

Chain f2b-apache2ddos (1 references)
 pkts bytes target     prot opt in     out     source               destination    
  269 15630 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0      

Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination    
   17  3392 REJECT     all  --  *      *       201.236.95.92        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       94.23.145.124        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       90.49.198.54         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       83.221.195.230       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       82.251.12.137        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       78.219.239.239       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.242.83.9          0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.242.83.8          0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.242.83.26         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.218.198.185       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.218.198.172       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.218.198.170       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.218.198.168       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       58.218.198.153       0.0.0.0/0            reject-with icmp-port-unreachable
    5   300 REJECT     all  --  *      *       5.188.10.176         0.0.0.0/0            reject-with icmp-port-unreachable
    3   180 REJECT     all  --  *      *       5.188.10.144         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       49.206.192.39        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       42.7.26.88           0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       42.7.26.61           0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       42.7.26.49           0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       24.16.85.236         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       223.18.204.71        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       218.65.30.25         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       213.32.85.127        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       202.29.4.124         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       200.104.171.251      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       193.70.6.197         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       193.201.224.241      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       193.201.224.232      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       188.153.178.22       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       185.31.165.255       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       185.143.223.231      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       185.143.223.135      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       182.100.67.4         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       182.100.67.244       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       182.100.67.235       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       170.244.168.2        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       149.202.223.62       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       123.249.79.177       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       118.212.143.43       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       115.43.175.20        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       107.190.13.217       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       103.99.3.92          0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       103.99.3.227         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       103.99.0.221         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       103.207.39.167       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       103.207.39.166       0.0.0.0/0            reject-with icmp-port-unreachable
 1806  144K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

kapella13
(11.05.18 18:08:04 MSK) автор топика

Ссылка

Ответ на: комментарий от smokin 11.05.18 17:37:52 MSK

Также вывожу лог vsftpd:

Fri May 11 18:06:39 2018 [pid 20240] CONNECT: Client «xxx. xxx. xxx. xxx» 
Fri May 11 18:06:44 2018 [pid 20240] FTP response: Client «xxx. xxx. xxx. xxx» , "220 Welcome to Copy-Paste FTP service."
Fri May 11 18:06:44 2018 [pid 20240] FTP command: Client «xxx. xxx. xxx. xxx» , "USER login"
Fri May 11 18:06:44 2018 [pid 20240] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "331 Please specify the password."
Fri May 11 18:06:44 2018 [pid 20240] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "PASS <password>"
Fri May 11 18:06:44 2018 [pid 20239] [login] OK LOGIN: Client «xxx. xxx. xxx. xxx» 
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "230 Login successful."
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "SYST"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "215 UNIX Type: L8"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "FEAT"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "211-Features:"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " AUTH TLS??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " EPRT??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " EPSV??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " MDTM??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " PASV??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " PBSZ??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " PROT??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " REST STREAM??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " SIZE??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " TVFS??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "211 End"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "HELP SITE"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "214-The following commands are recognized."
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " ABOR ACCT ALLO APPE CDUP CWD  DELE EPRT EPSV FEAT HELP LIST MDTM MKD??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " MODE NLST NOOP OPTS PASS PASV PORT PWD  QUIT REIN REST RETR RMD  RNFR??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " RNTO SITE SIZE SMNT STAT STOR STOU STRU SYST TYPE USER XCUP XCWD XMKD??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , " XPWD XRMD??"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "214 Help OK."
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "PBSZ 0"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "200 PBSZ set to 0."
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "PROT P"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "200 PROT now Private."
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "OPTS UTF8 ON"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "200 Always in UTF8 mode."
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "PWD"
Fri May 11 18:06:44 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "257 "/var/giplogin" is the current directory"
Fri May 11 18:06:45 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "TYPE A"
Fri May 11 18:06:45 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "200 Switching to ASCII mode."
Fri May 11 18:06:45 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "PASV"
Fri May 11 18:06:45 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "227 Entering Passive Mode (ZZZ,ZZZ,ZZZ,ZZZ,ZZZ,ZZZ)."
Fri May 11 18:07:06 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "PORT YYY,YYY,YYY,YYY,YYY,YYY"
Fri May 11 18:07:06 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "500 Illegal PORT command."
Fri May 11 18:07:23 2018 [pid 20242] [login] FTP command: Client «xxx. xxx. xxx. xxx» , "QUIT"
Fri May 11 18:07:23 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "221 Goodbye."

kapella13
(11.05.18 18:25:00 MSK) автор топика

Ответ на: комментарий от kapella13 11.05.18 18:25:00 MSK

Кстати судя по этой части лога:

Fri May 11 18:06:45 2018 [pid 20242] [login] FTP response: Client «xxx. xxx. xxx. xxx» , "227 Entering Passive Mode (ZZZ,ZZZ,ZZZ,ZZZ,ZZZ,ZZZ)."

ip адрес шестизначный... Правильно ли я понимаю, что используется ipv6?

kapella13
(11.05.18 18:50:12 MSK) автор топика

Ответ на: комментарий от kapella13 11.05.18 18:50:12 MSK

нет.

хммм.. а модуль ip_conntrack_ftp для iptables подгружен?

Возможно поможет 
modprobe ip_conntrack_ftp

pasv_addr_resolve=YES 
pasv_address=myaddress

smokin
(12.05.18 09:03:25 MSK)

Ответ на: комментарий от kapella13 11.05.18 18:25:00 MSK

PORT - это попытка клиента работать с сервером в активном режиме, после неудачной попытки подключиться к нему в пассивном. Обрати внимание на паузу в 20 секунд между ответом на PASV и отсылкой PORT.
Т.е. клиент пытается создать второе подключение, а кто-то его рубит. У ФТПшника точно айпишник белый?

thesis ★★★★★
(12.05.18 10:05:25 MSK)

Ответ на: комментарий от smokin 12.05.18 09:03:25 MSK

Выполнил modprobe ip_conntrack_ftp, добавил в конфиг соответствующие строчки. Вот что получилось (ошибка та же):

Sat May 12 12:13:02 2018 [pid 27973] [login] FTP command: Client «ххх.ххх.ххх.ххх», "PBSZ 0"
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP response: Client «ххх.ххх.ххх.ххх», "200 PBSZ set to 0."
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP command: Client «ххх.ххх.ххх.ххх», "PROT P"
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP response: Client «ххх.ххх.ххх.ххх», "200 PROT now Private."
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP command: Client «ххх.ххх.ххх.ххх», "OPTS UTF8 ON"
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP response: Client «ххх.ххх.ххх.ххх», "200 Always in UTF8 mode."
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP command: Client «ххх.ххх.ххх.ххх», "PWD"
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP response: Client «ххх.ххх.ххх.ххх», "257 "/var/folder" is the current directory"
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP command: Client «ххх.ххх.ххх.ххх», "TYPE A"
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP response: Client «ххх.ххх.ххх.ххх», "200 Switching to ASCII mode."
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP command: Client «ххх.ххх.ххх.ххх», "PASV"
Sat May 12 12:13:02 2018 [pid 27973] [login] FTP response: Client «ххх.ххх.ххх.ххх», "227 Entering Passive Mode (127,0,1,1,173,90)."
Sat May 12 12:13:04 2018 [pid 27973] [login] FTP command: Client «ххх.ххх.ххх.ххх», "PORT 192,168,10,2,193,103"
Sat May 12 12:13:04 2018 [pid 27973] [login] FTP response: Client «ххх.ххх.ххх.ххх», "500 Illegal PORT command."

kapella13
(12.05.18 12:46:04 MSK) автор топика

Ссылка

Ответ на: комментарий от thesis 12.05.18 10:05:25 MSK

Физически мне предоставлен доступ к роутеру администрации здания (офисного) и у него (предположительно) белый ip. После этого роутера кабель идёт к моему роутеру и от него к серверу. Все внутренние ip (в здании, в т.ч. у меня) статичны.

Проброс портов выполнен, на сервере работает сайт, облако (owncloud) и к ним есть безпроблемный доступ.

Повторюсь, если в конфиге закоментирую ssl_enable=YES, то работает чётко.

kapella13
(12.05.18 12:55:57 MSK) автор топика

Ответ на: комментарий от kapella13 12.05.18 12:55:57 MSK

Проброс портов выполнен

И диапазон на роутере и на фтп-сервере точно совпадает?

thesis ★★★★★
(12.05.18 13:11:42 MSK)
Последнее исправление: thesis 12.05.18 13:11:50 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 12.05.18 13:11:42 MSK

Вот тут прошу подробнее про диапазон. Пробрасывал следующие порты: 20, 21, 22, 80, 443, 989, 990.

Нужно что-то ещё?

kapella13
(12.05.18 13:27:15 MSK) автор топика

Ответ на: комментарий от kapella13 12.05.18 13:27:15 MSK

Пассивный режим фтп - режим, при котором клиент инициирует оба соединения к серверу. Номер порта, к которому сервер ждет второе соединение, прилетает от сервера в ответе на PASV.
Проблема: роутер, стоящий между клиентом и сервером, не может прочитать этот ответ ввиду шифрования, и поэтому динамически пробросить второе соединение не может.
Решение: пробросить на роутере фиксированный диапазон портов, используемых фтп-сервером, к этому серверу. См. pasv_min_port, pasv_max_port.

thesis ★★★★★
(12.05.18 14:06:47 MSK)
Последнее исправление: thesis 12.05.18 14:13:33 MSK (всего исправлений: 3)

Ответ на: комментарий от thesis 12.05.18 14:06:47 MSK

Попробую вечером добраться до роутера и пробросить диапазон.

kapella13
(12.05.18 17:45:42 MSK) автор топика

Ссылка

Ответ на: комментарий от thesis 12.05.18 14:06:47 MSK

thesis спасибо тебе ОГРОМНОЕ! Заработало! Действительно нужно было пробросить диапазон pasv портов!

P.S. Искренне хочу отблагодарить, только не знаю как связаться...

kapella13
(12.05.18 23:20:18 MSK) автор топика

Ответ на: комментарий от kapella13 12.05.18 23:20:18 MSK

Да ну, ерунда. Проблема древняя и отлично известная. Работает, ну и хорошо.

thesis ★★★★★
(13.05.18 07:58:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Чушь с правами

Admin

rsync --exclude vs --filter

→

Похожие темы