HiНеобходимо чтобы vsftpd при получении команды PASV открывал порт только из строго определенного диапазона.
В конфиге поставил такие опции.
pasv_min_port=50200
pasv_max_port=50299
Однако ему пофиг, и порты назначаются рэндомом.
Где тут грабли?
Неужели никто не использовал эти параметры в конфиге?
>Неужели никто не использовал эти параметры в конфиге?# cat /etc/vsftpd.conf
# man 5 vsftpd.conf !!! :)
# запуск: /usr/local/libexec/vsftpdpasv_enable=yes
pasv_min_port=30000
pasv_max_port=40000
port_enable=yes
port_promiscuous=no
listen=yes
#listen_port=55001
anonymous_enable=no
local_enable=yes
write_enable=yes
local_umask=0
anon_umask=0
anon_upload_enable=yes
anon_mkdir_write_enable=yes
dirmessage_enable=yes
xferlog_enable=no
connect_from_port_20=no
chown_uploads=yes
chown_username=abcd
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=no
idle_session_timeout=600
data_connection_timeout=120
nopriv_user=nobody
async_abor_enable=yes
ascii_upload_enable=yes
ascii_download_enable=yes
ftpd_banner=hoolio
ls_recurse_enable=yesmax_clients=200
guest_enable=yes
guest_username=abcd
use_localtime=yes
max_per_ip=100
local_max_rate=50000000chroot_local_user=yes
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
check_shell=nodirlist_enable=yes
virtual_use_local_privs=yes
log_ftp_protocol=no
force_dot_files=yes
hide_ids=yes
use_sendfile=no
file_open_mode=0777userlist_enable=yes
userlist_deny=no
userlist_file=/etc/vsftpd.allowuser_config_dir=/etc/vsftpd_user_conf/
вот рабочий конф. само собой есть и allow, и всё остальное.
а то, что ты прислала пару строк - ни о чём не говорит.
я бы тоже мог тебе запостить и сказать - всё работает...
>вот рабочий конф. само собой есть и allow, и всё остальное.
>а то, что ты прислала пару строк - ни о чём не
>говорит.
>я бы тоже мог тебе запостить и сказать - всё работает...
2hoolio А ты проверял, что у тебя действительно порты открываются из заданного тобой диапазона?Вот мой конфиг.
# egrep -v "(^#|^[ \t]*$)" vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=033
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
ftpd_banner=Welcome to FTP service.
chroot_list_enable=YES
chroot_list_file=/usr/local/etc/vsftpd.chroot_list
secure_chroot_dir=/usr/local/share/vsftpd/empty
listen=YES
background=YES
anon_root=/usr/ftproot
hide_ids=YES
anon_max_rate=32768
pasv_enable=YES
pasv_min_port=50200
pasv_max_port=50299и тоже все работает, но кроме pasv_min_port и pasv_max_port
>>2hoolio А ты проверял, что у тебя действительно порты открываются из заданного тобой диапазона?ок. остальные порты закрыты ipfw.
>>>2hoolio А ты проверял, что у тебя действительно порты открываются из заданного тобой диапазона?
>
>ок. остальные порты закрыты ipfw.У тебя в конфиге я не нашел никаких дополнительных параметров, каких нет у меня, которые бы влияли на открытие портов, и тем не менее у тебя работает так как нужно.
В чем же у меня могут быть грабли?
если только логи сравнивать... хз.. сейчас мнекогда разбираться.
пятница :) уже отсутствую+
>если только логи сравнивать... хз.. сейчас мнекогда разбираться.
>пятница :) уже отсутствую+
Это какие еще логи?
Если /var/log/vsftpd.log, то там ничего нет.
Уважаемые гуру, какие еще могут быть предположения, почему не работает ограничение диапазона портов?
>Уважаемые гуру, какие еще могут быть предположения, почему не работает ограничение диапазона
>портов?
а vsftpd перезапускался после смены конфига? вопрос конечно дурацкий, но всякое при спешке случается.
>а vsftpd перезапускался после смены конфига? вопрос конечно дурацкий, но всякое при
>спешке случается.
Конечно. Даже пересобирался.$ pkg_info |grep vsftpd
vsftpd-2.0.4 A FTP daemon that aims to be "very secure"
и еще:
$ uname -a
FreeBSD 5.4-STABLE FreeBSD 5.4-STABLE #1: Sun Oct 23 20:12:56 MSD 2005Может надо что-то в /etc/sysctl.conf подправить?
ASCII mode??? Нахрена?
>ASCII mode??? Нахрена?
ну это не из моего конфига.
Вы бы мне помогли.
тема все еще актуальна, и очень нужна ваша помощь
>тема все еще актуальна, и очень нужна ваша помощьтак а ipfw конфиги вы студию?
У меня обратная проблема не работает активный режим :)
>>тема все еще актуальна, и очень нужна ваша помощьстолкнулся с такой же проблемой. пытаюсь разобраться. открыл закономерность, что vsftpd для разных операционок открывает порты в разных диапазонах. очень нужно решение а то для работы приходится практически весь фаервол открывать :(
>>>тема все еще актуальна, и очень нужна ваша помощь
> столкнулся с такой же проблемой. пытаюсь разобраться. открыл закономерность, что vsftpd
> для разных операционок открывает порты в разных диапазонах. очень нужно решение
> а то для работы приходится практически весь фаервол открывать :(проблема решилась после отключения в конфиге параметров с ASCII
аллелуя.
>>>>тема все еще актуальна, и очень нужна ваша помощь
>> столкнулся с такой же проблемой. пытаюсь разобраться. открыл закономерность, что vsftpd
>> для разных операционок открывает порты в разных диапазонах. очень нужно решение
>> а то для работы приходится практически весь фаервол открывать :(
> проблема решилась после отключения в конфиге параметров с ASCII
> аллелуя.ошибочка вышла. проблема актуальна. хрен пойми че ему надо. хелп.
>>>>>тема все еще актуальна, и очень нужна ваша помощь
>>> столкнулся с такой же проблемой. пытаюсь разобраться. открыл закономерность, что vsftpd
>>> для разных операционок открывает порты в разных диапазонах. очень нужно решение
>>> а то для работы приходится практически весь фаервол открывать :(
>> проблема решилась после отключения в конфиге параметров с ASCII
>> аллелуя.
> ошибочка вышла. проблема актуальна. хрен пойми че ему надо. хелп.итогом копания кучи статей и мануалов стало осознание того, что по 21
порту происходит приветствие в котором сервак с клиентом договариваются о том, какой режим и какие порты использовать, таким образом в случае пассивного режима сервак сообщает клиенту некоторый порт диапазона максимальный-минимальный номер порта из pasv_max_port и pasv_min_port, на котором он готов ПРИНИМАТЬ инфу от клиента (должны быть открыты в фаерволе сервака), а также назначает рандомом из 1024-65537 порт с которого он будет передавать. в итоге, непонимание этой ситуации ведет к мнению о том что диапазон указанных портов не работает. на полную достоверность не претендую, это чисто мое чайниковое мнение и понимание ситуации.