URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93205
[ Назад ]

Исходное сообщение
"VSftpD Не пускает анонимов из интернета"

Отправлено chuk87 , 29-Мрт-12 12:22 
Доброе время суток!!!
Сразу прощу прощение если чего не допишу, я новичок на Вашем форуме и в изучении UNIX систем.
Проблема вот в чем, поднял FTP сервер (VSFTPD) под Ubuntu на виртуальной машине (virtualbox) полностью открыт для анонимов, во внутренней сети работает исправно.
Но вот через Интернет не как.
Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как на реальной так и на виртульной машине 20 и 21 порты открыты
Поднимал FTP-сервера (IIS) на Windows 7, все работатает нормально по сети и Интернет
мой конфиг vsftpd.conf сделан на основе этого поста http://www.opennet.me/base/net/vsftpd_overview.txt.html
#Если опция включена сервер стартет в независимом от inetd/xinetd режиме 
#"standalone mode". В этом случае он сам заботится о прослушивании и
#определении входящих соединений.
#Default: NO
listen=YES
#
#Если vsftpd находится в standalone_mode, это максимальное количество клиентов,
#которые могут быть подключены. Попытки подключения сверх указанного количества,
#получат сообщение об ошибке.
#Default: 0 (unlimited)
max_clients=15
#
#Если vsftpd находится в standalone mode, эта опция указывает максимально
#возможное количество клиентов с одинаковыми ip адресами. Клиентские подключения
#пытающиеся превысить этот лимит, получат сообщение об ошибке.
#Default: 0 (unlimited)
max_per_ip=4
#
#Разрешает или запрещает вход анонимных пользователей. Если разрешено, пользователи
#с именами ftp и anonymous распознаются как анонимные пользователи.
#Default: YES
anonymous_enable=YES
#
#Если опция установлена, vsftp не спрашивает пароль у анонимных
#пользователей, позволяя им подключаться сразу.
#Default: NO
no_anon_password=YES
#
#При включение этой опции, анонимным пользователям будет разрешено скачивать только
#видимые ими из мира файлы. Предполагается полезным, если пользователи могут загружать
#на сервер и хранить на нем собственные файлы.
#Default: YES
anon_world_readable_only=YES
#
#Включение этой опции указывает исходящим с сервера соединениям использовать
#20 порт. Из соображений безопасности, некоторые клиенты могут настаивать
#на этом значении. Отключение этой опции позволяет vsftpd стартовать с немного
#меньшими привилегиями.
#Default: NO (but the sample config file enables it)
connect_from_port_20=YES
#
#Включение скрывает информацию о именах владельцев файлов и группах, при
#листинге отображается как "ftp".
#Default: NO
hide_ids=YES
#
#Значение номера порта начиная с которого размещаются порты для PASV стиля
#передачи данных. Может быть использовано для указания подробного размещения
#портов помогая файрволлингу.
#Default: 0 (use any port)
pasv_min_port=50000
#
#Значение указывает максимальный порт до которого размещены порты для PASV
#стиля передачи данных. Может быть использовано для указания подробного
#размещения портов помогая файрволлингу.
#Default: 0 (use any port)
pasv_max_port=60000
#
#Если включено, журнал будет включать детальные отчеты о закачках на сервер,
#и закачках с сервера (uploads, downloads). По умолчанию, этот файл будет
#располагаться в /var/log/vsftpd.log, но расположение может быть изменено
#используя опцию vsftpd_log_file.
#Default: NO (but the sample config file enables it)
xferlog_enable=YES
#
#При включении, специальные FTP команды известные как "async ABOR"
#будут разрешены. Только плохо продуманные FTP клиенты используют эту функцию.
#В добавок эта функция неудобна в управлении, поэтому отключена по умолчанию.
#К сожалению, некоторые FTP клиенты могут зависать в момент отмены передачи,
#если эта функция выключена. Если это происходит можно попробовать включить
#эту функцию.
#Default: NO
async_abor_enable=YES
#
#Начиная с ядра Linux 2.4, возможно использование различных моделей
#безопасности, так включение этой опции позволяет использовать только один процесс
#на одно пользовательское подключение. Обычно нет нужды включать это если вы точно
#не уверены что делаете, и сайт не поддерживает большое количество одновременно
#подключенных пользователей.
#Default: NO  
one_process_model=YES
#
#Временной промежуток в секундах указывающий для удаленного клиента
#максимальное время которое он может бездействовать не выполняя FTP команды.
#Если время исчерпано, соединение отбрасывается.
#Default: 300
idle_session_timeout=120
#
#Максимальный временной промежуток в секундах, разрешенного замирания процесса
#передачи данных. Если перерыв превышен, соединение с удаленным клиентом отбрасывается.
#Default: 300
data_connection_timeout=300
#
#Максимальное время в секундах для выделения подключения с PASV стилем
#передачи данных.
#Default: 60
accept_timeout=60
#
#Максимальное время в секундах, отведенное на выделение соединения
#PORT стиля передачи данных.
#Default: 60
connect_timeout=60
#
#Максимальная допустимая скорость передачи данных для анонимных
#пользователей, выражена в байтах
#в секунду .
#Default: 0 (unlimited)
anon_max_rate=0
#
#Разрешает FTP команды изменяющие файловую систему. Такие команды как:
#STOR,  DELE,  RNFR, RNTO, MKD, RMD, APPE, SITE.
#Default: NO
write_enable=YES
#
#Включение этой опции позволяет анонимным пользователям загружать файлы на сервер, в
#соответствии с определенными для этого условиями. Для того чтобы это работало опция
#write_enable должна быть активирована, и анонимный ftp пользователь должен иметь права
#на запись в каталоге для загрузки. Включение опции также необходимо для #предоставления
#возможности загружать на сервер файлы виртуальным пользователям; по умолчанию #виртуальные
#пользователи имеют одинаковые привилегии с анонимными пользователями
#(т.е. максимально ограниченные привилегии).
#Default: NO  
anon_upload_enable=YES
#
#Значение накладываемой маски на создаваемые анонимными пользователями файлы.
#Замечание! Если вы решили указать цифровое значение, надо помнить о
#нулевом "0" префиксе, иначе значение будет рассмотрено как десятизначное.
#Default: 077
anon_umask=022
#
#Если выбрано значение NO, все запросы на скачивание файлов с
#сервера будут отклонены.
#Default: YES
download_enable=YES
#
#Включение этой опции, позволяет анонимным пользователям создавать новые каталоги в
#соответствии с определенными для этого условиями. Для того чтобы это работало опция
#write_enable должна быть включена, и анонимный пользователь должен иметь права на
#запись в данном каталоге.
#Default: NO
anon_mkdir_write_enable=YES
#
#Если выбрано YES, анонимные пользователи могут выполнять операции записи отличные от
#загрузки на сервер и создания каталогов, такие как удаление и переименование. Это #обычно
#не рекомендуется, но все таки такая возможность присутствует для полноты.
#Default: NO
anon_other_write_enable=YES
#
#Значение маски назначения прав доступа к файлам созданным локальными
#пользователями. Помните! Если вы хотите указать параметр в качестве
#цифрового значения, указывайте "0" (нулевую) приставку, иначе
#значение будет определено как целое десятизначное.
#Default: 077
local_umask=077
#
anon_max_rate=0listen=YES


Содержание

Сообщения в этом обсуждении
"VSftpD Не пускает анонимов из интернета"
Отправлено Дядя_Федор , 29-Мрт-12 12:58 
> Проблема вот в чем, поднял FTP сервер (VSFTPD) под Ubuntu на виртуальной
> машине (virtualbox) полностью открыт для анонимов, во внутренней сети работает исправно.
> Но вот через Интернет не как.

Совершенно очевидно, что проблема не в самом vsftpd после того, что изложено выше.

> Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как
> на реальной так и на виртульной машине 20 и 21 порты
> открыты

Значит, хреново сделал. Или неправильно сделал. Что по сути - одно и то же. Читаем до просветления документацию по iptables. Он есть даже на этом сайте. Даже на русском языке.


"VSftpD Не пускает анонимов из интернета"
Отправлено chuk87 , 29-Мрт-12 14:24 
>[оверквотинг удален]
>> машине (virtualbox) полностью открыт для анонимов, во внутренней сети работает исправно.
>> Но вот через Интернет не как.
>  Совершенно очевидно, что проблема не в самом vsftpd после того, что
> изложено выше.
>> Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как
>> на реальной так и на виртульной машине 20 и 21 порты
>> открыты
>  Значит, хреново сделал. Или неправильно сделал. Что по сути - одно
> и то же. Читаем до просветления документацию по iptables. Он есть
> даже на этом сайте. Даже на русском языке.

Я его полностью тушил таже фигня...


"VSftpD Не пускает анонимов из интернета"
Отправлено Pahanivo , 29-Мрт-12 15:07 
>[оверквотинг удален]
>>> Но вот через Интернет не как.
>>  Совершенно очевидно, что проблема не в самом vsftpd после того, что
>> изложено выше.
>>> Интернет через роутер, проброс 20 и 21 портов сделал, в firewall(ах) как
>>> на реальной так и на виртульной машине 20 и 21 порты
>>> открыты
>>  Значит, хреново сделал. Или неправильно сделал. Что по сути - одно
>> и то же. Читаем до просветления документацию по iptables. Он есть
>> даже на этом сайте. Даже на русском языке.
> Я его полностью тушил таже фигня...

А проброс чем при тушении делал?


"VSftpD Не пускает анонимов из интернета"
Отправлено Дядя_Федор , 29-Мрт-12 15:48 
> А проброс чем при тушении делал?

Вот тем самым, о чем Вы подумали, судя по всему. :)))))



"VSftpD Не пускает анонимов из интернета"
Отправлено chuk87 , 29-Мрт-12 16:32 
>> А проброс чем при тушении делал?
>  Вот тем самым, о чем Вы подумали, судя по всему. :)))))

я так понял тут мне не помогут, конкретно указать на мои ошибку, единственный совет это читать мануал длиной в месяц.....


"VSftpD Не пускает анонимов из интернета"
Отправлено Кегна , 29-Мрт-12 20:27 
>>> А проброс чем при тушении делал?
>>  Вот тем самым, о чем Вы подумали, судя по всему. :)))))
> я так понял тут мне не помогут, конкретно указать на мои ошибку,
> единственный совет это читать мануал длиной в месяц.....

Пробрасывали как?
Предложу вам почитать про ftp (passive/active) и про nf_conntrack.

Скорее всего проблема именно в этом. А ещё информации маловато. Вы бы могли провести сессию с терминала? Что отвечает фтп сервер и отвечает ли? Логи фтп сервера тоже было бы неплохо увидеть)

А так да телепаты в отпуске и судя по всему конфиг у вас правильный.
Надо просто немного почитать и допилить ^^


"VSftpD Не пускает анонимов из интернета"
Отправлено chuk87 , 30-Мрт-12 00:33 
>[оверквотинг удален]
>> я так понял тут мне не помогут, конкретно указать на мои ошибку,
>> единственный совет это читать мануал длиной в месяц.....
> Пробрасывали как?
> Предложу вам почитать про ftp (passive/active) и про nf_conntrack.
> Скорее всего проблема именно в этом. А ещё информации маловато. Вы бы
> могли провести сессию с терминала? Что отвечает фтп сервер и отвечает
> ли? Логи фтп сервера тоже было бы неплохо увидеть)
> А так да телепаты в отпуске и судя по всему конфиг у
> вас правильный.
> Надо просто немного почитать и допилить ^^

вот в этом и проблема что лог показывает только те адреса который заходят из внутренней сети, а про те адреса который идут из интернета вообще не строчки.
Пробрасывал на роутаре из внешних портов во  внутренние, на внутреннею IP.
Если какая та информация еще нужна, говорите, а то пост создал первый раз, с Unix решил заняться месяц назад, и буду очень благодарен любой помощи, до этого искал понимания в уже существующих статьях.  
А про (passive/active) и про nf_conntrack. обязательно почитаю. Большое спасибо


"VSftpD Не пускает анонимов из интернета"
Отправлено кегна , 30-Мрт-12 11:46 
>[оверквотинг удален]
>> вас правильный.
>> Надо просто немного почитать и допилить ^^
> вот в этом и проблема что лог показывает только те адреса который
> заходят из внутренней сети, а про те адреса который идут из
> интернета вообще не строчки.
> Пробрасывал на роутаре из внешних портов во  внутренние, на внутреннею IP.
> Если какая та информация еще нужна, говорите, а то пост создал первый
> раз, с Unix решил заняться месяц назад, и буду очень благодарен
> любой помощи, до этого искал понимания в уже существующих статьях.
> А про (passive/active) и про nf_conntrack. обязательно почитаю. Большое спасибо

терминальную сессию проведите к фтп (по принципу):
xxx@local:~$ ftp
ftp> open xxxxx.ru
Connected to xxxxx.ru.
220 ftp.xxxxx.ru FTP server (Version 6.00LS) ready.
Name (xxxxx.ru:user): user
331 Password required for user
Password:
230 User user logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
потерто )
226 Transfer complete
ftp>

И пришлите её сюда)


"VSftpD Не пускает анонимов из интернета"
Отправлено Дядя_Федор , 30-Мрт-12 16:11 
> И пришлите её сюда)

Дык нечего ему слать. Разве непонятно, что у него попросту проброс портов не настроен во внутреннюю сеть? :)



"VSftpD Не пускает анонимов из интернета"
Отправлено Дядя_Федор , 30-Мрт-12 11:47 
Эээх, молодежь....
iptables -t nat -I PREROUTING -p tcp -s список_сетей_или_0/0 -d IP-сервера-ВНЕШНИЙ --dport 20 -j DNAT to-destination 192.168.16.10:20
iptables -t nat -I POSTROUTING -p tcp -s 192.168.16.10 -j SNAT --to-source внешний_IP_сервера.
То же самое с портом 21. Плюс - в цепочке FORWARD разрешить прохождение пакетов с внутренней сети (или с одного IP сервера). Плюс echo 1> /proc/sys/net/ipv4/ip_forward Это навскидку, на коленке. Ну и читать до просветления документацию по iptables. САМО оно никогда не настроится. А без базовых знаний - еще и "сломается".

"VSftpD Не пускает из интернета."
Отправлено Айнур , 05-Апр-12 17:31 
> Эээх, молодежь....
> iptables -t nat -I PREROUTING -p tcp -s список_сетей_или_0/0 -d IP-сервера-ВНЕШНИЙ --dport
> 20 -j DNAT to-destination 192.168.16.10:20
> iptables -t nat -I POSTROUTING -p tcp -s 192.168.16.10 -j SNAT --to-source
> внешний_IP_сервера.

У меня почти такая же проблема. Решил на удаленной машине (ubuntu) поднять ftp server vsftpd. Соединение такое: (Мой комп)-шлюз-инет-шлюз-(удаленная машина(ftp устанавливаю)). Туда подключаюсь и настраеваю через ssh (22 port). Вроде бы настроил vsftpd.conf, ftp локально заработал и можно зайти на ftp через машины из одной подсети, но через удаленный (через мой комп) доступ запрещен. При попытки подключения, проходит авторизацию, но не заходит(((  Тоже дело в iptables?

PS. Когда через свой комп в cmd набираю ftp Ip : он заходит, можно использовать команды: pwd, mkd, cd,. то есть можно создавать, удалять, переходить по папкам, но выводить список файлов и каталогов нет, то есть ls не работает(((