URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 25241
[ Назад ]

Исходное сообщение
"Проблема с vsftpd"
Отправлено Василий Свиридов , 18-Янв-03 05:15

Не даёт скачивать файлы, в виндах у юзеров после скачивания файлы нулевой длины...
Логинится нормально, по папкам ходит, только вот качать не получается, ни с localhost, ни удалённо. Что странно - upload работает без проблем.

Содержание

RE: Проблема с vsftpd,LinaS, 19:39 , 18-Янв-03
- RE: Проблема с vsftpd,Василий Свиридов, 22:29 , 18-Янв-03
  - RE: Проблема с vsftpd,LinaS, 01:19 , 19-Янв-03
    - RE: Проблема с vsftpd,Василий Свиридов, 01:29 , 19-Янв-03
      - RE: Проблема с vsftpd,LinaS, 01:35 , 19-Янв-03
        
        RE: Проблема с vsftpd,Василий Свиридов, 02:04 , 19-Янв-03
        
        RE: Проблема с vsftpd,Василий Свиридов, 02:05 , 19-Янв-03
        
        RE: Проблема с vsftpd,LinaS, 02:16 , 19-Янв-03
        
        RE: Проблема с vsftpd,Василий Свиридов, 07:06 , 19-Янв-03
        
        RE: Проблема с vsftpd,LinaS, 13:45 , 19-Янв-03
        
        RE: Проблема с vsftpd,Sampan, 16:49 , 19-Янв-03
        
        RE: Проблема с vsftpd,LinaS, 15:46 , 20-Янв-03
      - RE: Проблема с vsftpd,uldus, 12:10 , 19-Янв-03
        
        RE: Проблема с vsftpd,VIRUS, 16:25 , 19-Янв-03
        
        RE: Проблема с vsftpd,uldus, 17:26 , 19-Янв-03

Сообщения в этом обсуждении

"RE: Проблема с vsftpd"
Отправлено LinaS , 18-Янв-03 19:39

>Не даёт скачивать файлы, в виндах у юзеров после скачивания файлы нулевой
>длины...
>
>Логинится нормально, по папкам ходит, только вот качать не получается, ни с
>localhost, ни удалённо. Что странно - upload работает без проблем.
покажи vsftpd.conf
и
ls -la /ftp/users/home

"RE: Проблема с vsftpd"
Отправлено Василий Свиридов , 18-Янв-03 22:29

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
idle_session_timeout=600
data_connection_timeout=120
nopriv_user=nobody
ftpd_banner=Welcome to Bionium Software FTP Service
deny_email_enable=YES
banned_email_file=/etc/vsftpd.banned_emails
chroot_local_user=YES
chroot_list_file=/etc/vsftpd.chroot_list
ls_recurse_enable=YES
pam_service_name=vsftpd
Ftp/users/home отсуствует, т.к. все локальные юзеры chroot'ятся в их ~/$Username, а анонимных я не пускаю...

"RE: Проблема с vsftpd"
Отправлено LinaS , 19-Янв-03 01:19

>anonymous_enable=NO
>local_enable=YES
>write_enable=YES
>local_umask=022
>dirmessage_enable=YES
>xferlog_enable=YES
>connect_from_port_20=YES
>xferlog_std_format=YES
>idle_session_timeout=600
>data_connection_timeout=120
>nopriv_user=nobody
>ftpd_banner=Welcome to Bionium Software FTP Service
>deny_email_enable=YES
>banned_email_file=/etc/vsftpd.banned_emails
>chroot_local_user=YES
>chroot_list_file=/etc/vsftpd.chroot_list
>ls_recurse_enable=YES
>pam_service_name=vsftpd
>
>Ftp/users/home отсуствует, т.к. все локальные юзеры chroot'ятся в их ~/$Username, а анонимных
>я не пускаю...
я имею в виду права на файлы в каталоге, в который попадают юзеры по ФТП и откуда они получают файлы нулевой длины - должны быть права на чтение

"RE: Проблема с vsftpd"
Отправлено Василий Свиридов , 19-Янв-03 01:29

>я имею в виду права на файлы в каталоге, в который попадают
>юзеры по ФТП и откуда они получают файлы нулевой длины -
>должны быть права на чтение
У юзеров есть права читать свои файлы, локально и по SCP к ним доступ есть...
Вот то что говорит FTP клиент
ftp> get 403.zip
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for 403.zip (402246 bytes).
451 Failure writing network stream.

"RE: Проблема с vsftpd"
Отправлено LinaS , 19-Янв-03 01:35

>>я имею в виду права на файлы в каталоге, в который попадают
>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>должны быть права на чтение
>
>У юзеров есть права читать свои файлы, локально и по SCP к
>ним доступ есть...
>
>Вот то что говорит FTP клиент
>
>ftp> get 403.zip
>200 PORT command successful. Consider using PASV.
>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>451 Failure writing network stream.
ага
это попахивает неработающим пассивным режимом ФТП
соединение на высокие порты прикрыт на файрволле?

"RE: Проблема с vsftpd"
Отправлено Василий Свиридов , 19-Янв-03 02:04

>>>я имею в виду права на файлы в каталоге, в который попадают
>>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>>должны быть права на чтение
>>
>>У юзеров есть права читать свои файлы, локально и по SCP к
>>ним доступ есть...
>>
>>Вот то что говорит FTP клиент
>>
>>ftp> get 403.zip
>>200 PORT command successful. Consider using PASV.
>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>451 Failure writing network stream.
>
>ага
>это попахивает неработающим пассивным режимом ФТП
>соединение на высокие порты прикрыт на файрволле?
Вполне возможно, но у меня полиси на файерволе простое - всё, что не
запрещено - разрешено. А запрещены у меня всякие 137-139, и проч...

"RE: Проблема с vsftpd"
Отправлено Василий Свиридов , 19-Янв-03 02:05

>>>>я имею в виду права на файлы в каталоге, в который попадают
>>>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>>>должны быть права на чтение
>>>
>>>У юзеров есть права читать свои файлы, локально и по SCP к
>>>ним доступ есть...
>>>
>>>Вот то что говорит FTP клиент
>>>
>>>ftp> get 403.zip
>>>200 PORT command successful. Consider using PASV.
>>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>>451 Failure writing network stream.
>>
>>ага
>>это попахивает неработающим пассивным режимом ФТП
>>соединение на высокие порты прикрыт на файрволле?
>
>Вполне возможно, но у меня полиси на файерволе простое - всё, что
>не
>запрещено - разрешено. А запрещены у меня всякие 137-139, и проч...

Кстати, из локалки тоже не работает, а она вообще на другой сетевухе...

"RE: Проблема с vsftpd"
Отправлено LinaS , 19-Янв-03 02:16

>>>>>я имею в виду права на файлы в каталоге, в который попадают
>>>>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>>>>должны быть права на чтение
>>>>
>>>>У юзеров есть права читать свои файлы, локально и по SCP к
>>>>ним доступ есть...
>>>>
>>>>Вот то что говорит FTP клиент
>>>>
>>>>ftp> get 403.zip
>>>>200 PORT command successful. Consider using PASV.
>>>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>>>451 Failure writing network stream.
>>>
>>>ага
>>>это попахивает неработающим пассивным режимом ФТП
>>>соединение на высокие порты прикрыт на файрволле?
>>
>>Вполне возможно, но у меня полиси на файерволе простое - всё, что
>>не
>>запрещено - разрешено. А запрещены у меня всякие 137-139, и проч...
>
>
>Кстати, из локалки тоже не работает, а она вообще на другой сетевухе...
>
а как vsftpd запускается?
система Линукс я так понимаю?
iptables/ipchains?
правила?

"RE: Проблема с vsftpd"
Отправлено Василий Свиридов , 19-Янв-03 07:06

Linux, RH 7.3,
Запускается через xinetd,
Настройки iptables
TCP - 21, 137-139 - Deny
Masquerading изнутри, плюс пара мэппингов через нат.
Кстати, у меня есть tcpserver из поставки qmail, может через него можно привинтить?

"RE: Проблема с vsftpd"
Отправлено LinaS , 19-Янв-03 13:45

>Linux, RH 7.3,
>
>Запускается через xinetd,
>Настройки iptables
>
>TCP - 21, 137-139 - Deny
>Masquerading изнутри, плюс пара мэппингов через нат.
>
>Кстати, у меня есть tcpserver из поставки qmail, может через него можно
>привинтить?
можно, конечно, tcpserver не входит в поставку qmail, см тут:
http://cr.yp.to/ucspi-tcp.html
в общем, как тебе уже написали (см сообщение от uldus), для работы ftp в пассивном режиме нужен модуль (ip_nat_ftp вроде или как то так)

"RE: Проблема с vsftpd"
Отправлено Sampan , 19-Янв-03 16:49

>>ftp> get 403.zip
>>200 PORT command successful. Consider using PASV.
>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>451 Failure writing network stream.
>
>ага
>это попахивает неработающим пассивным режимом ФТП
>соединение на высокие порты прикрыт на файрволле?
IMHO, все с точностью до наоборот.
Фраза "200 PORT command successful. Consider using PASV" означает нормальный режим FTP. "Consider using PASV" переводится как: "возможно (допустимо) использовать пассивный FTP" - стандартная добавка в vsftpd.
Сдается мне, проблема вовсе не в пассивном FTP через NAT.
"Failure writing network stream" - вот загвоздка!
При этом upload работает. Т.е. reading from network stream проходит. При этом в нормальном FTP исходящее соединение с порта 20 устанавливается не зависимо от upload или download - т.е. устанавливается и firewall ему не мешает (upload то работает).
В комментариях к режиму chroot_local_user=YES есть несколько серьезных предупреждений и этот режим использовать не рекомендуется.
Попробуй для начала выключить chroot_local_user, посмотри что получится
Кстати, версия vsftpd какая? Не из rpm случаем?

"RE: Проблема с vsftpd"
Отправлено LinaS , 20-Янв-03 15:46

>>>ftp> get 403.zip
>>>200 PORT command successful. Consider using PASV.
>>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>>451 Failure writing network stream.
>>
>>ага
>>это попахивает неработающим пассивным режимом ФТП
>>соединение на высокие порты прикрыт на файрволле?
>
>IMHO, все с точностью до наоборот.
>Фраза "200 PORT command successful. Consider using PASV" означает нормальный режим FTP.
>"Consider using PASV" переводится как: "возможно (допустимо) использовать пассивный FTP" -
>стандартная добавка в vsftpd.
>
>Сдается мне, проблема вовсе не в пассивном FTP через NAT.
>"Failure writing network stream" - вот загвоздка!
>При этом upload работает. Т.е. reading from network stream проходит. При этом
>в нормальном FTP исходящее соединение с порта 20 устанавливается не зависимо
>от upload или download - т.е. устанавливается и firewall ему не
>мешает (upload то работает).
>
>В комментариях к режиму chroot_local_user=YES есть несколько серьезных предупреждений и этот режим
>использовать не рекомендуется.
>Попробуй для начала выключить chroot_local_user, посмотри что получится
>
>Кстати, версия vsftpd какая? Не из rpm случаем?
да, видимо, не пассивный режим
в RFC959:
в разделе 4.2 FTP REPLYES:
код 451
первая цифра (4) - временная неудача
вторая цифра (5) - состояние файловой системы
в целом ошибка 451 - Requested action aborted. Local error in processing

"RE: Проблема с vsftpd"
Отправлено uldus , 19-Янв-03 12:10

>200 PORT command successful. Consider using PASV.
>451 Failure writing network stream
Не работает пассивный режим: для юзеров работающих через NAT работать без специального ftp-прокси модуля не будет (в новых ipf есть, но нужно его включить) или приписывай пользователям использовать активный режим соединения.

"RE: Проблема с vsftpd"
Отправлено VIRUS , 19-Янв-03 16:25

>>200 PORT command successful. Consider using PASV.
>>451 Failure writing network stream
>
>Не работает пассивный режим: для юзеров работающих через NAT работать без специального
>ftp-прокси модуля не будет (в новых ipf есть, но нужно его
>включить) или приписывай пользователям использовать активный режим соединения.
Попробуй сервак proftpd он есть в портах. Как мне кажется его легче настроить.

"RE: Проблема с vsftpd"
Отправлено uldus , 19-Янв-03 17:26

>Попробуй сервак proftpd он есть в портах. Как мне кажется его легче
>настроить.
Решить проблему треда это не поможет, так как сущность FTP протокола и методы работы пассивного режима от смены ПО не изменятся.
Тем более я бы крайне не рекомендовал ставить proftpd в виду ужасного кода, который уже года три не могут почистить, что приводит к регулярному обнаружению новых дыр, иначе как не под jail его пускать крайне опасно. vsftpd случай крайне противоположный, не настолько функционален (но как правило даже обычного ftpd вполне хватает), но качество кода прекрасное и главное направление создания - безопасный ftp демон.