LINUX.ORG.RU
ФорумAdmin

Есть задача


0

1

Добрый день, есть проблема:

Пользователь в сети, отделенной от интернета межсетевым экраном на базе linux/iptables. Требуется скачать файл c сервера ftp, но не получается. Администратор сервера сохранил сессию пользователя и отослал администратору межсетевого экрана. Что должен сделать администатор линуксбокса?

xxx.xxx.xxx.xxx.00021-yyy.yyy.yyy.yyy.01061: 220 ProFTPD 1.3.3 Server (AlfaStrah FTP Server) [::ffff:xxx.xxx.xxx.xxx]

062.084.104.070.01061-xxx.xxx.xxx.xxx.00021: USER anonymous

xxx.xxx.xxx.xxx.00021-yyy.yyy.yyy.yyy.01061: 331 Anonymous login ok, send your complete email address as your password

yyy.yyy.yyy.yyy.01061-xxx.xxx.xxx.xxx.00021: PASS -wget@

xxx.xxx.xxx.xxx.00021-yyy.yyy.yyy.yyy.01061: 230 Hey, anonymous are your sure?

yyy.yyy.yyy.yyy.01061-xxx.xxx.xxx.xxx.00021: SYST

xxx.xxx.xxx.xxx.00021-yyy.yyy.yyy.yyy.01061: 215 UNIX Type: L8

yyy.yyy.yyy.yyy.01061-xxx.xxx.xxx.xxx.00021: PWD

xxx.xxx.xxx.xxx.00021-yyy.yyy.yyy.yyy.01061: 257 «/» is the current directory

yyy.yyy.yyy.yyy.01061-xxx.xxx.xxx.xxx.00021: TYPE I

xxx.xxx.xxx.xxx.00021-yyy.yyy.yyy.yyy.01061: 200 Type set to I

yyy.yyy.yyy.yyy.01061-xxx.xxx.xxx.xxx.00021: CWD /cisco

xxx.xxx.xxx.xxx.00021-yyy.yyy.yyy.yyy.01061: 250 CWD command successful

yyy.yyy.yyy.yyy.01061-xxx.xxx.xxx.xxx.00021: PORT 10,1,20,3,4,38

> Что должен сделать администатор линуксбокса?

Не очень вдумываясь:
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
На самом деле, какой-то из них сам подтянет другой.

AS ★★★★★ ()

Ещё вот это можно посмотреть:

$ wget --help|grep passi
--no-passive-ftp disable the «passive» transfer mode.

как правило, всё вертится где-то здесь. Раз в логе про passive ничего, то его, наоборот, надо включить.

AS ★★★★★ ()

Стока PORT 10,1,20,3,4,38 говорит о том что клиент запрашивает активную передачу данных. Что бы она работала нужно:

1. На шлюзе должен быть NAT от 22 порта ФТП-сервера. Что подразумевает в 95% случает загруженный модуль connftrack_ftp

2. у клиента должен быть открыт порт вычисляющийся из последненго поля строки( помню как).

Можно использовать пассивную передачу. На офф сайте proftpd есть how-to .Тогда на шлюзе нужен только NAT пассивных портов из proftpd-конфига.

greek_31 ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.