vsftpd - Connection refused

Фаервол?

вполне может быть я создал там правила, но не уверен, что я его подключил, а если и сделал это, то не помню где сомтреть.

Надо же локализовать проблему для того, чтобы решить её. Попробуй совсем фаервол отключить.

# iptables -nv -L

Chain INPUT (policy ACCEPT 400 packets, 47245 bytes)

pkts bytes target prot opt in out source destination 0 0 fail2ban-ssh tcp  — * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 139 packets, 15090 bytes) pkts bytes target prot opt in out source destination

Chain fail2ban-ssh (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all  — * * 0.0.0.0/0 0.0.0.0/0

в фаерволе на сервере проблем нет
вероятно, зафильтровано где-то между клиентом и сервером — нужна схема организации сети

и да, научись уже постить на лоре технические данные с нормальным форматированием, иначе язабан

Там в ftp часто не достаточно одного 21 порта, т.к. ftp сервер может назначать отдельный порт для передачи данных, случайным образом. Это сделано для улучшения безопасности. Т.о., если ftp сервак за натом, то нужно отключать в настройках ftp серверов динамические порты, либо определить для них небольшой диапазон.

не подскажете как это лучше сделать?

Подскажие как лучше показать данные об организации сети?

Пока моуг сказать что: роутер подключен к интернету - к нему подключен сервер и локальные компьютеры. На всех компьютерах есть интернет. Без проблем подсоединяюсь к серверу с вне (с других статических ip) по ssh (порт изменен в целях безопасности). Делал проброс портов, чтобы сервер было видно из внешней сети. Стоит lamp и 1 сайт привязан к серверу. Открывается без проблем. Сейчас пытаюсь настроить ftp для доступа к файлам сайта.

У сервера статический ip.

т.е. ftp-клиент находится снаружи? нет доступа из интернета? доступ к ftp из локальной сети есть? для доступа снаружи к серверу по ftp на роутере настроен проброс 21-tcp порта?

в таком случае на ftp-сервере нужно включить пассивный режим, а на роутере дополнительно пробросить выбранный диапазон портов

Не знаю по какую сторону фтп сервер, но я пробовал коннект внутри сети и из внешнего компьютера не принадлежащего к серверной сети. Пишет connect refused.

Проброс портов не сделал. Завтра поставлю проброс. Но мне кажется дело не только в этом, внутри сети тоже нету коннекта.

Спасибо за ссылку на статью, попробую сделать по инструкции. С iptables не разобрался до конца.

У меня созданы правила в файле /etc/iptables.rules, но не помню где я делал include на него. Не понятно, читает ли сервер этот файл. Но выше я писал вывод правил по команде iptables, значения которых не понимаю.

А как потом вернуть в боевой режим iptables? Я так понимаю, Вы предлагаете отключить ограничения фаервола?

Снял все ограничения этой командой, теперь можно ждать чего угодно из сети :) подскажите еще как снять эти ограничения. Перезагрузки хватит или они прописались где-то? Из вне пытаюсь получить доступ к файлам сервера командой

ftp xxx.xxx.xx.xxx

Пишет: Connection refused

Завтра сделаю проброс портов на внутренний ip. Но чую где то еще собака зарыта :)

Проброс портов не сделал. Завтра поставлю проброс. Но мне кажется дело не только в этом, внутри сети тоже нету коннекта.

пока не надо
начни с локального доступа, т.е. прямо с самого сервера:

$ ftp localhost

затем проверяй доступ с компов локальной сети, а уж потом только из внешней сети

хотя, судя по:

значения которых не понимаю

вангую использование неправильного IP-адреса, т.е. клиент просто куда-то не туда ломится :)

Снял все ограничения

нет и не было у тебя на сервере никаких ограничений :)
если что-то где-то и фильтруется, то на роутере

подключаюсь к внешнему ip по ftp, т.е. При коннекте ввожу:

Hostname - статический ip сервера Пользователь - зарегистрированный пользователь на сервере (правда я переопределил домашнюю папку для каждого пользователя, это /var/www/user. Не может ли быть это причиной? Права на папки 750 с владельцами user:user. Пароль - соответственно.

Все же начну с локальных попыток. Потестирую ваши рекомендации :) Вообще, весь сыр бор это сделать свой внешний хостинг-сервер для личных сайтов и сайтов знакомых. Без Фтп как без рук, пробовал в консоле редактировать файлы, какое-то извращенство :) так привык к визуальной работе. Да и знакомым надо раздать доступ к своим сайтам :)

Hostname - статический ip сервера

адрес белый/серый?
как организована внутренняя сеть? тоже роутинг белых адресов или серые адреса за NATом?
на сайт как заходишь? через этот же ip-адрес?

заверни листинги в [code][/code], пожалуйста
и, наверное, сделай

# iptables -tfilter -I INPUT 4 -p tcp -m tcp --dport 21 -j ACCEPT

Только что обнаружил что могу подключиться к серверу с внешней сети по sftp в домашнюю деррикторию usera /var/www/user. Это что-то меняет?

Опять же ввожу, данные по коннекту:

hostname: белый ip (статический, узнавал у провайдера)

Login: user

Pass: xxx

Соединение: sftp scp

Есть коннект к домашней директории. А вот по ftp нету

По одной рекомендации подключил сегодня утром /etc/iptables.rules вначале файла /etc/network/interfaces. Как результат перестал коонектиться по ssh, сайт с сервера не подгружался из вне :) пришлось садиться за сервер и отключать, что наворотил :)

Предположу, что правила очень надежные были, что аж все позакрывал :))

Вот собственно и они

# Generated by iptables-save v1.4.14 on Fri Nov 8 15:52:15 2013 *filter 

:INPUT ACCEPT [1:52] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0]

# Судя по lo это локалка
-A INPUT -i lo -j ACCEPT 

-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A PREROUTING -p tcp -m tcp -d 234.166.34.145 --dport 2322 -j DNAT --to-destination 192.168.1.101:2322

-A POSTROUTING -p tcp -m tcp -s 192.168.1.101 --sport 2322 -j SNAT --to-source 234.166.34.145:2322

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 

-A INPUT -p tcp -m state --state NEW -m tcp --dport 30000 -j ACCEPT 

-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 

-A INPUT -m limit --limit 5/min -j LOG --log-prefix «iptables denied: » --log-level 7 

-A INPUT -j REJECT --reject-with icmp-port-unreachable 

-A FORWARD -j REJECT --reject-with icmp-port-unreachable 

-A OUTPUT -j ACCEPT

# разрешаем доступ для Фтп по порту 21 для нашего vsftpd сервера -

A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

Почти все правила брал из мануалов, чувствую есть тут много лишнего. Статический адрес 234.166.34.145 вымышленный, порт 2322.

Увидел косячек с внутренним IP, на конце 101 стоит, а должно 102. Он у меня не привязан на роутере. Только сейчас увидел когда полез :) Наверно теперь если поменять, то фаервол уже не заблокирует доступ по этим портам к ssh, apache и vsftpd. Завтра попробую :)

адрес белый/серый?

Белый

как организована внутренняя сеть? тоже роутинг белых адресов или серые адреса за NATом?

Не совсем понимаю Вас, я еще изучаю этот вопрос. У меня в /etc/network/interfaces следующие записи:

auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet dhcp

на сайт как заходишь? через этот же ip-адрес?

Для домена у регистратора прописал A запись с этим IP сервера (белый). А в роутере пробросил порт 80 на локальный ip сервера: 192.168.1.102

В результате сайт виден во внешней сети по белому IP сервера.

# iptables -tfilter -I INPUT 4 -p tcp -m tcp --dport 21 -j ACCEPT

Пишет: Index of insertion too big. (Индекс вставки слишком большой.)

какой-то ворох противоречивой инфы
зачем приводить этот файл, если реально он не используется? мы же видели совсем другие правила фаервола, которые были загружены на самом деле

роутер и сервер — это одна машина?

Увидел косячек с внутренним IP, на конце 101 стоит, а должно 102

гы-гы
видимо, я угадал
чей это адрес 192.168.1.101? сервера со стороны локалки? а 192.168.1.102?

короче, мой вердикт: рано тебе еще админить все это; если очень хочешь, то начинай постепенно читать документацию и вникать в суть того что делаешь, а не бездумно чего-то конфигурять вслепую и пробовать все подряд

А в роутере пробросил порт 80 на локальный ip сервера: 192.168.1.102

вот точно так же нужно пробросить еще 21 порт (сразу после этого ошибка «Connection refused» исчезнет — будет или другая ошибка или просто клиент подвиснет) и плюс тот диапазон портов, который настроишь в vsftpd для работы пассивного режима

однако, очень советую все же сначала научиться понимать что делаешь, потому что без этого твой сервер рано или поздно захакают, как бы ты не скрывал его ip и не изменял ssh-порты

зачем приводить этот файл, если реально он не используется? мы же видели совсем другие правила фаервола, которые были загружены на самом деле

Из разговора тут понял, что он у меня не подключен, поэтому и привел его, надеясь на какие-то замечания по содержанию. Все равно включить в целях безопасности сервера его надо. Только правила грамотно прописать нужно. :)

роутер и сервер — это одна машина?

роутер 192.168.1.1 (к нему подключен интернет и дальше он раздает на сервер и другие компьютеры через витые пары)

Сервер 192.168.1.102 (раньше было 192.168.1.101, видимо с перезагрузкой сервера и ip сменился. Пытался закрепить мак адрес в роутере, но не нашел где. У меня Cisco E1200)

Еще подключены 2 компьютера (стационарный через витую пару и ноутбук по wi-fi) у всех есть интернет. С ноутбуком пришлось повозиться, чтоб интернет там запустить.

короче, мой вердикт: рано тебе еще админить...

Поверьте мне, я уже как 2 месяца занимаюсь перелопачиванием мануалов в сети интернета и результаты слишком ничтожны. Я трачу по 850 руб на VPS и хочу это как-то поменять. Я пришел сюда только и за-за того, что не нашел правильного решения в сети. 2 месяца назад я кроме Windows ничего не знал. Сейчас это положение вещей меняется :) Буду признателен за любую помощь в моем вопросе и конечно же за Ваше время и терпение.

вот точно так же нужно пробросить еще 21 ...

Обязательно завтра это попробую, о результатах отпишусь. Интересно, почему sftp и scp пропускают юзера, а ftp нет? И за-за портов?

однако, очень советую все же сначала научиться понимать что делаешь, потому что без этого твой сервер рано или поздно захакают, как бы ты не скрывал его ip и не изменял ssh-порты

Любой компьютер в сети это потенциальная мишень для хакеров :) я думаю, желающих специально поломать мне сервер будет мало. А вообще, в интернете очень много статей и постов в которых описываются моменты по защите сервера. Можно в какой-то степени защититься. Конечно быстро реагировать на взломы и дос атаки неопытному тяжело, но это искушение слишком велико. Встал на этот путь только в целях экономии и больших мощностей, так бы не стал тратить время. В случае заморочек с хаками, вернусь на хостинг. Прирост скорости на сайте заметно ощутил, хотя хостинг оплачивал тоже неплохой.

Еще хотел узнать как все таки правильно написать iptables.rules для хостинг сервера, т.е. Пропускать порты для ssh, ftp, imap, apache, и других важных для хостинга процессов?

Поверьте мне, я уже как 2 месяца занимаюсь перелопачиванием мануалов в сети интернета и результаты слишком ничтожны. Я трачу по 850 руб на VPS и хочу это как-то поменять. Я пришел сюда только и за-за того, что не нашел правильного решения в сети. 2 месяца назад я кроме Windows ничего не знал. Сейчас это положение вещей меняется :) Буду признателен за любую помощь в моем вопросе и конечно же за Ваше время и терпение.

Поверьте мне, я уже как 2 месяца читаю по вечерам медицинский справочник болезней и результаты слишком ничтожны. Я трачу на лечение себя и моей семьи 15 тыс. руб в год и хочу это как-то поменять. Я пришел сюда только из-за того, что не нашел в справочнике правильной тактики лечения астмы. 2 месяца назад я кроме градусника, йода и аспирина ничего не знал. Сейчас это положение вещей меняется. За потраченное на меня время и терпение скажу вам огромное спасибо, а за реальную помощь буду по гроб жизни благодарен.

Поверьте мне, я уже как 2 месяца читаю по вечерам медицинский справочник ...

Из этого может получиться хороший анекдот :)

Да, все таки проблема была в роутере. Пробросил порт 21 и появился коннект, буду внимательней :) спасибо за помощь.

1. Сейчас нуждаюсь в правильной настройке /etc/iptables.rules для внешнего хостинг-сервера. С правами на ftp,ssh, apache и другие приложения. Буду признателен за подсказки.

2. Также ищу в сети хороший вариант настройки конфигурационного файла apache для хостинга.

3. Не знаю как правильно привязать домен к белому ip сервера, чтобы при коннекте из внешней сети к серверу, он открывался по адресу мойдомен.ру (т.е. Hostname был мойдомен.ру)

Сейчас у домена есть А запись на белый IP сервера.