vsftpd не пускает (ECONNREFUSED - Connection refused by server)

0

2

Конфиг сервера

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
allow_writable_root=YES
secure_chroot_dir=/var/run/vsftpd/empty
rsa_cert_file=/etc/ssl/private/vsftpd.pem

Лог клиента (Filezilla)

Статус:	Соединяюсь с $server:21...
Статус:	Не удалось установить соединение с "ECONNREFUSED - Connection refused by server".
Ошибка:	Невозможно подключиться к серверу
Статус:	Ожидание повтора..

Лог сервера:

Wed Sep  5 12:48:10 2012 [pid 2] CONNECT: Client "$client"
Wed Sep  5 12:48:10 2012 [pid 1] [evgeny] OK LOGIN: Client "$client"

В iptables конект разрешен

-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT

Ссылка

←	автозапуск программ Mint 13

Как управлять tmux?

→

соединяешься в пассивном или активном режиме? идешь через нат?

Skolotovich ★★★
(05.09.12 15:20:06 MSK)

Ответ на: комментарий от Skolotovich 05.09.12 15:20:06 MSK

от выбора типа соединения (актив-пассив ничего не меняется). Иду через nat

kombrig ★★★
(05.09.12 15:21:26 MSK) автор топика

Ответ на: комментарий от kombrig 05.09.12 15:21:26 MSK

попробуй следующее

убрать опцию connect_from_port_20=YES

в конфиге прописать

pasv_min_port=40000
pasv_max_port=49999

диапазон портов бери какой нравиться, и соответственно эти порты надо разрешить в iptables, и пробуй соединиться в пассивном режиме

Skolotovich ★★★
(05.09.12 15:28:12 MSK)

Ответ на: комментарий от Skolotovich 05.09.12 15:28:12 MSK

добавил на сервере чтобы не морочиться с открытием портов

-A INPUT -s $client/32 -p tcp -j ACCEPT
-A INPUT -s $client/32 -p udp -j ACCEP

Закоментировал connect_from_port_20=YES и прописал пассив. Результат тот-же

kombrig ★★★
(05.09.12 15:35:26 MSK) автор топика

Ответ на: комментарий от kombrig 05.09.12 15:35:26 MSK

зайди на него телнетом и посмотри что скажет, должно быть чтото вроде

220 Welcome to h0 FTP service.

Skolotovich ★★★
(05.09.12 15:39:00 MSK)

Ответ на: комментарий от kombrig 05.09.12 15:35:26 MSK

secure_chroot_dir=/var/run/vsftpd/empty
rsa_cert_file=/etc/ssl/private/vsftpd.pem

убедись что /var/run/vsftpd/empty существует и закоментируй сертификат

Skolotovich ★★★
(05.09.12 15:41:02 MSK)

Ссылка

Ответ на: комментарий от Skolotovich 05.09.12 15:39:00 MSK

connection refused.

kombrig ★★★
(05.09.12 15:59:13 MSK) автор топика

Ответ на: комментарий от kombrig 05.09.12 15:59:13 MSK

проверь что на серваке vsftp биндит внешний интерфейс

например у меня

# netstat -ln | grep :21
tcp        0      0 91.200.42.63:21         0.0.0.0:*               LISTEN

проверь что с самого сервера на фтп зайти можно

если все нормально, фтп биндит нужный порт и с сервака все работает, копай в сторону фаервола, попробуй его выключить если это не критично, послушай 21 порт tcpdump'ом и убедись что от тебя долетают пакеты

Skolotovich ★★★
(05.09.12 16:10:04 MSK)

Ответ на: комментарий от Skolotovich 05.09.12 16:10:04 MSK

да уж начал. Сделал iptables -F сервак вообще перестал отвечать. Ща с этим разгребусь.

kombrig ★★★
(05.09.12 16:17:05 MSK) автор топика

Ответ на: комментарий от kombrig 05.09.12 16:17:05 MSK

да уж начал. Сделал iptables -F сервак вообще перестал отвечать. Ща с этим разгребусь.

это ты пошутил ((:, надо было сначала глянуть что там прописано

Skolotovich ★★★
(05.09.12 16:43:34 MSK)

Ответ на: комментарий от Skolotovich 05.09.12 16:43:34 MSK

Так ничего такого. не было была базовая защита прикручена - запрет входящих и разрешение нужных портов. Ничего хитрого там не было.

kombrig ★★★
(05.09.12 16:46:32 MSK) автор топика

Ответ на: комментарий от kombrig 05.09.12 16:46:32 MSK

базовая защита прикручена - запрет входящих и разрешение нужных портов

если при этом в INPUT default policy стояла DROP то это неудивительно

Pinkbyte ★★★★★
(05.09.12 17:56:42 MSK)

Ссылка

Ответ на: комментарий от Skolotovich 05.09.12 16:10:04 MSK

в общем, выясняется, что сервер стартует, но порт не слушает.

# service vsftpd restart
stop: Unknown instance: 
vsftpd start/running, process 2053

netstat -ln | grep :21

ничего не отдает

kombrig ★★★
(06.09.12 07:57:14 MSK) автор топика

Ответ на: комментарий от kombrig 06.09.12 07:57:14 MSK

помогает для запуска сервера закоментировать

#allow_writable_root=YES

Тогда начинает слушать порт, но при коннекте отдает ошибку

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

kombrig ★★★
(06.09.12 08:16:50 MSK) автор топика

Ответ на: комментарий от kombrig 06.09.12 08:16:50 MSK

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

это их секурити фича, либо делать chmod a-w $HOME, либо откатываться на более старую версию

Skolotovich ★★★
(06.09.12 11:18:46 MSK)

Ответ на: комментарий от Skolotovich 06.09.12 11:18:46 MSK

Спасибо. помогло.

Хотя в офф. факе написано

[b]При входе пользователем на FTP-Server версии 2.3.5 выдается сообщение: "500 OOPS: vsftpd: refusing to run with writable root inside chroot()".[/b]
Всё верно, в 2.3.5 ужесточены правила безопасности. Теперь сервер не делает chroot() в домашний каталог пользователя, если на него стоят права на запись. Данное ограничение можно обойти путем установки расширенной версии 2.3.5 с заданием в файле настроек опции allow_writable_root, либо установить 3.0.0 и изменить значение опции allow_writable_chroot конфигурационного файла.

kombrig ★★★
(06.09.12 11:47:50 MSK) автор топика