URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96339
[ Назад ]

Исходное сообщение
"Проблема с доступом по фтп к серверу извне"
Отправлено omonimus , 24-Окт-15 20:40

Здравствуйте.
Подмогните разобраться, кто не жадный.
Схема такая - есть роутер зухель с постоянным ип, за которым у меня домашняя сеть с линукс-сервером и виндовым компом.
Так вот, лично я сам всегда без проблем по фтп попадаю на линух внутри своей 192.168.1.*-сети, но тут появилась потребность и снаружи заходить на него (не мне), и вот тут-то и обнаружилось, что - "не работает".
В iptables на сервере открыл же вроде всё -
-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
В роутере порты тоже проброшены изначально были...
Только вот проблема в том, что нету никого, кто мог бы извне помочь просто проверить во время моих манипуляций фтп-соединение - есть-нету...
Посредством сайта http://portscan.ru и добавлением-удалением правил в пробросе портов роутера выяснилось, что при добавлении порта 21, он открывается (т.е. сайт сканит только роутер, что логично), а порт 20 если открыть правилом таким же - продолжает оставаться закрытым. о_О
Как так?

Содержание

Проблема с доступом по фтп к серверу извне,shadow_alone, 04:08 , 25-Окт-15
Проблема с доступом по фтп к серверу извне,Павел Самсонов, 16:45 , 25-Окт-15

Сообщения в этом обсуждении

"Проблема с доступом по фтп к серверу извне"
Отправлено shadow_alone , 25-Окт-15 04:08

почитай про протокол FTP внимательно.
А заодно и про passive/active режимы.
--------
In active mode FTP the client connects from a random unprivileged port (N > 1023) to the FTP server's command port, port 21. Then, the client starts listening to port N+1 and sends the FTP command PORT N+1 to the FTP server. The server will then connect back to the client's specified data port from its local data port, which is port 20.
--------
Надеюсь теперь тебе понятно, почему порт 20 закрыт.

"Проблема с доступом по фтп к серверу извне"
Отправлено Павел Самсонов , 25-Окт-15 16:45

>[оверквотинг удален]
> -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
> В роутере порты тоже проброшены изначально были...
> Только вот проблема в том, что нету никого, кто мог бы извне
> помочь просто проверить во время моих манипуляций фтп-соединение - есть-нету...
> Посредством сайта http://portscan.ru и добавлением-удалением правил в пробросе портов
> роутера выяснилось, что при добавлении порта 21, он открывается (т.е. сайт
> сканит только роутер, что логично), а порт 20 если открыть правилом
> таким же - продолжает оставаться закрытым. о_О
> Как так?
Я открываю FTP на сервере так:
modprobe nf_conntrack_ftp
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT