Доброе время суток!!!
Сразу прощу прощение если чего не допишу, я новичок на Вашем форуме и в изучении UNIX систем.
Проблема вот в чем, поднял FTP сервер (VSFTPD) под Ubuntu на виртуальной машине (virtualbox) полностью открыт для анонимов, во внутренней сети работает исправно.
Но вот через Интернет не как.
Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как на реальной так и на виртульной машине 20 и 21 порты открыты
Поднимал FTP-сервера (IIS) на Windows 7, все работатает нормально по сети и Интернет
мой конфиг vsftpd.conf сделан на основе этого поста http://www.opennet.me/base/net/vsftpd_overview.txt.html#Если опция включена сервер стартет в независимом от inetd/xinetd режиме
#"standalone mode". В этом случае он сам заботится о прослушивании и
#определении входящих соединений.
#Default: NO
listen=YES
#
#Если vsftpd находится в standalone_mode, это максимальное количество клиентов,
#которые могут быть подключены. Попытки подключения сверх указанного количества,
#получат сообщение об ошибке.
#Default: 0 (unlimited)
max_clients=15
#
#Если vsftpd находится в standalone mode, эта опция указывает максимально
#возможное количество клиентов с одинаковыми ip адресами. Клиентские подключения
#пытающиеся превысить этот лимит, получат сообщение об ошибке.
#Default: 0 (unlimited)
max_per_ip=4
#
#Разрешает или запрещает вход анонимных пользователей. Если разрешено, пользователи
#с именами ftp и anonymous распознаются как анонимные пользователи.
#Default: YES
anonymous_enable=YES
#
#Если опция установлена, vsftp не спрашивает пароль у анонимных
#пользователей, позволяя им подключаться сразу.
#Default: NO
no_anon_password=YES
#
#При включение этой опции, анонимным пользователям будет разрешено скачивать только
#видимые ими из мира файлы. Предполагается полезным, если пользователи могут загружать
#на сервер и хранить на нем собственные файлы.
#Default: YES
anon_world_readable_only=YES
#
#Включение этой опции указывает исходящим с сервера соединениям использовать
#20 порт. Из соображений безопасности, некоторые клиенты могут настаивать
#на этом значении. Отключение этой опции позволяет vsftpd стартовать с немного
#меньшими привилегиями.
#Default: NO (but the sample config file enables it)
connect_from_port_20=YES
#
#Включение скрывает информацию о именах владельцев файлов и группах, при
#листинге отображается как "ftp".
#Default: NO
hide_ids=YES
#
#Значение номера порта начиная с которого размещаются порты для PASV стиля
#передачи данных. Может быть использовано для указания подробного размещения
#портов помогая файрволлингу.
#Default: 0 (use any port)
pasv_min_port=50000
#
#Значение указывает максимальный порт до которого размещены порты для PASV
#стиля передачи данных. Может быть использовано для указания подробного
#размещения портов помогая файрволлингу.
#Default: 0 (use any port)
pasv_max_port=60000
#
#Если включено, журнал будет включать детальные отчеты о закачках на сервер,
#и закачках с сервера (uploads, downloads). По умолчанию, этот файл будет
#располагаться в /var/log/vsftpd.log, но расположение может быть изменено
#используя опцию vsftpd_log_file.
#Default: NO (but the sample config file enables it)
xferlog_enable=YES
#
#При включении, специальные FTP команды известные как "async ABOR"
#будут разрешены. Только плохо продуманные FTP клиенты используют эту функцию.
#В добавок эта функция неудобна в управлении, поэтому отключена по умолчанию.
#К сожалению, некоторые FTP клиенты могут зависать в момент отмены передачи,
#если эта функция выключена. Если это происходит можно попробовать включить
#эту функцию.
#Default: NO
async_abor_enable=YES
#
#Начиная с ядра Linux 2.4, возможно использование различных моделей
#безопасности, так включение этой опции позволяет использовать только один процесс
#на одно пользовательское подключение. Обычно нет нужды включать это если вы точно
#не уверены что делаете, и сайт не поддерживает большое количество одновременно
#подключенных пользователей.
#Default: NO
one_process_model=YES
#
#Временной промежуток в секундах указывающий для удаленного клиента
#максимальное время которое он может бездействовать не выполняя FTP команды.
#Если время исчерпано, соединение отбрасывается.
#Default: 300
idle_session_timeout=120
#
#Максимальный временной промежуток в секундах, разрешенного замирания процесса
#передачи данных. Если перерыв превышен, соединение с удаленным клиентом отбрасывается.
#Default: 300
data_connection_timeout=300
#
#Максимальное время в секундах для выделения подключения с PASV стилем
#передачи данных.
#Default: 60
accept_timeout=60
#
#Максимальное время в секундах, отведенное на выделение соединения
#PORT стиля передачи данных.
#Default: 60
connect_timeout=60
#
#Максимальная допустимая скорость передачи данных для анонимных
#пользователей, выражена в байтах
#в секунду .
#Default: 0 (unlimited)
anon_max_rate=0
#
#Разрешает FTP команды изменяющие файловую систему. Такие команды как:
#STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, SITE.
#Default: NO
write_enable=YES
#
#Включение этой опции позволяет анонимным пользователям загружать файлы на сервер, в
#соответствии с определенными для этого условиями. Для того чтобы это работало опция
#write_enable должна быть активирована, и анонимный ftp пользователь должен иметь права
#на запись в каталоге для загрузки. Включение опции также необходимо для #предоставления
#возможности загружать на сервер файлы виртуальным пользователям; по умолчанию #виртуальные
#пользователи имеют одинаковые привилегии с анонимными пользователями
#(т.е. максимально ограниченные привилегии).
#Default: NO
anon_upload_enable=YES
#
#Значение накладываемой маски на создаваемые анонимными пользователями файлы.
#Замечание! Если вы решили указать цифровое значение, надо помнить о
#нулевом "0" префиксе, иначе значение будет рассмотрено как десятизначное.
#Default: 077
anon_umask=022
#
#Если выбрано значение NO, все запросы на скачивание файлов с
#сервера будут отклонены.
#Default: YES
download_enable=YES
#
#Включение этой опции, позволяет анонимным пользователям создавать новые каталоги в
#соответствии с определенными для этого условиями. Для того чтобы это работало опция
#write_enable должна быть включена, и анонимный пользователь должен иметь права на
#запись в данном каталоге.
#Default: NO
anon_mkdir_write_enable=YES
#
#Если выбрано YES, анонимные пользователи могут выполнять операции записи отличные от
#загрузки на сервер и создания каталогов, такие как удаление и переименование. Это #обычно
#не рекомендуется, но все таки такая возможность присутствует для полноты.
#Default: NO
anon_other_write_enable=YES
#
#Значение маски назначения прав доступа к файлам созданным локальными
#пользователями. Помните! Если вы хотите указать параметр в качестве
#цифрового значения, указывайте "0" (нулевую) приставку, иначе
#значение будет определено как целое десятизначное.
#Default: 077
local_umask=077
#
anon_max_rate=0listen=YES
> Проблема вот в чем, поднял FTP сервер (VSFTPD) под Ubuntu на виртуальной
> машине (virtualbox) полностью открыт для анонимов, во внутренней сети работает исправно.
> Но вот через Интернет не как.Совершенно очевидно, что проблема не в самом vsftpd после того, что изложено выше.
> Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как
> на реальной так и на виртульной машине 20 и 21 порты
> открытыЗначит, хреново сделал. Или неправильно сделал. Что по сути - одно и то же. Читаем до просветления документацию по iptables. Он есть даже на этом сайте. Даже на русском языке.
>[оверквотинг удален]
>> машине (virtualbox) полностью открыт для анонимов, во внутренней сети работает исправно.
>> Но вот через Интернет не как.
> Совершенно очевидно, что проблема не в самом vsftpd после того, что
> изложено выше.
>> Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как
>> на реальной так и на виртульной машине 20 и 21 порты
>> открыты
> Значит, хреново сделал. Или неправильно сделал. Что по сути - одно
> и то же. Читаем до просветления документацию по iptables. Он есть
> даже на этом сайте. Даже на русском языке.Я его полностью тушил таже фигня...
>[оверквотинг удален]
>>> Но вот через Интернет не как.
>> Совершенно очевидно, что проблема не в самом vsftpd после того, что
>> изложено выше.
>>> Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как
>>> на реальной так и на виртульной машине 20 и 21 порты
>>> открыты
>> Значит, хреново сделал. Или неправильно сделал. Что по сути - одно
>> и то же. Читаем до просветления документацию по iptables. Он есть
>> даже на этом сайте. Даже на русском языке.
> Я его полностью тушил таже фигня...А проброс чем при тушении делал?
> А проброс чем при тушении делал?Вот тем самым, о чем Вы подумали, судя по всему. :)))))
>> А проброс чем при тушении делал?
> Вот тем самым, о чем Вы подумали, судя по всему. :)))))я так понял тут мне не помогут, конкретно указать на мои ошибку, единственный совет это читать мануал длиной в месяц.....
>>> А проброс чем при тушении делал?
>> Вот тем самым, о чем Вы подумали, судя по всему. :)))))
> я так понял тут мне не помогут, конкретно указать на мои ошибку,
> единственный совет это читать мануал длиной в месяц.....Пробрасывали как?
Предложу вам почитать про ftp (passive/active) и про nf_conntrack.Скорее всего проблема именно в этом. А ещё информации маловато. Вы бы могли провести сессию с терминала? Что отвечает фтп сервер и отвечает ли? Логи фтп сервера тоже было бы неплохо увидеть)
А так да телепаты в отпуске и судя по всему конфиг у вас правильный.
Надо просто немного почитать и допилить ^^
>[оверквотинг удален]
>> я так понял тут мне не помогут, конкретно указать на мои ошибку,
>> единственный совет это читать мануал длиной в месяц.....
> Пробрасывали как?
> Предложу вам почитать про ftp (passive/active) и про nf_conntrack.
> Скорее всего проблема именно в этом. А ещё информации маловато. Вы бы
> могли провести сессию с терминала? Что отвечает фтп сервер и отвечает
> ли? Логи фтп сервера тоже было бы неплохо увидеть)
> А так да телепаты в отпуске и судя по всему конфиг у
> вас правильный.
> Надо просто немного почитать и допилить ^^вот в этом и проблема что лог показывает только те адреса который заходят из внутренней сети, а про те адреса который идут из интернета вообще не строчки.
Пробрасывал на роутаре из внешних портов во внутренние, на внутреннею IP.
Если какая та информация еще нужна, говорите, а то пост создал первый раз, с Unix решил заняться месяц назад, и буду очень благодарен любой помощи, до этого искал понимания в уже существующих статьях.
А про (passive/active) и про nf_conntrack. обязательно почитаю. Большое спасибо
>[оверквотинг удален]
>> вас правильный.
>> Надо просто немного почитать и допилить ^^
> вот в этом и проблема что лог показывает только те адреса который
> заходят из внутренней сети, а про те адреса который идут из
> интернета вообще не строчки.
> Пробрасывал на роутаре из внешних портов во внутренние, на внутреннею IP.
> Если какая та информация еще нужна, говорите, а то пост создал первый
> раз, с Unix решил заняться месяц назад, и буду очень благодарен
> любой помощи, до этого искал понимания в уже существующих статьях.
> А про (passive/active) и про nf_conntrack. обязательно почитаю. Большое спасиботерминальную сессию проведите к фтп (по принципу):
xxx@local:~$ ftp
ftp> open xxxxx.ru
Connected to xxxxx.ru.
220 ftp.xxxxx.ru FTP server (Version 6.00LS) ready.
Name (xxxxx.ru:user): user
331 Password required for user
Password:
230 User user logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
потерто )
226 Transfer complete
ftp>И пришлите её сюда)
> И пришлите её сюда)Дык нечего ему слать. Разве непонятно, что у него попросту проброс портов не настроен во внутреннюю сеть? :)
Эээх, молодежь....
iptables -t nat -I PREROUTING -p tcp -s список_сетей_или_0/0 -d IP-сервера-ВНЕШНИЙ --dport 20 -j DNAT to-destination 192.168.16.10:20
iptables -t nat -I POSTROUTING -p tcp -s 192.168.16.10 -j SNAT --to-source внешний_IP_сервера.
То же самое с портом 21. Плюс - в цепочке FORWARD разрешить прохождение пакетов с внутренней сети (или с одного IP сервера). Плюс echo 1> /proc/sys/net/ipv4/ip_forward Это навскидку, на коленке. Ну и читать до просветления документацию по iptables. САМО оно никогда не настроится. А без базовых знаний - еще и "сломается".
> Эээх, молодежь....
> iptables -t nat -I PREROUTING -p tcp -s список_сетей_или_0/0 -d IP-сервера-ВНЕШНИЙ --dport
> 20 -j DNAT to-destination 192.168.16.10:20
> iptables -t nat -I POSTROUTING -p tcp -s 192.168.16.10 -j SNAT --to-source
> внешний_IP_сервера.У меня почти такая же проблема. Решил на удаленной машине (ubuntu) поднять ftp server vsftpd. Соединение такое: (Мой комп)-шлюз-инет-шлюз-(удаленная машина(ftp устанавливаю)). Туда подключаюсь и настраеваю через ssh (22 port). Вроде бы настроил vsftpd.conf, ftp локально заработал и можно зайти на ftp через машины из одной подсети, но через удаленный (через мой комп) доступ запрещен. При попытки подключения, проходит авторизацию, но не заходит((( Тоже дело в iptables?
PS. Когда через свой комп в cmd набираю ftp Ip : он заходит, можно использовать команды: pwd, mkd, cd,. то есть можно создавать, удалять, переходить по папкам, но выводить список файлов и каталогов нет, то есть ls не работает(((