Изпечатай

[toti84]

Здравейте,

На компютъра ми (192.168.1.222) имам инсталиран proftpd (XAMPP).
Нямам проблем с достъпа до ftp сървъра от локалната мрежа (192.168.1.0/24) с юзер: toti.
Рутера ми пренасочва порт 21 към  192.168.1.222, като идеята ми е да има достъп от всякъде от интернет до ftp сървъра.

Когато някой се опита от "вънка" да влезе, при правилно въведен юзер toti и парола излиза съобщение от сорта

Примерен код

An error occured openig that folder on FTP Server. Make sure you have permission to access that folder.

На 192.168.1.222:

-спрян iptables
-в /еtc/hosts.allow и /etc/hosts.deny има само закоментирани редове
- chmod 777 /root/Public/
-cat /opt/lampp/etc/proftpd.conf

Примерен код

# This is a basic ProFTPD configuration file (rename it to # 'proftpd.conf' for actual use.  It establishes a single server # and a single anonymous login.  It assumes that you have a user/group # "nobody" and "ftp" for normal operation and anon. ServerName                      "ProFTPD" ServerType                      standalone DefaultServer                   on # Port 21 is the standard FTP port. Port                            21 # Umask 022 is a good standard umask to prevent new dirs and files # from being group and world writable. Umask                           022 # To prevent DoS attacks, set the maximum number of child processes # to 30.  If you need to allow more than 30 concurrent connections # at once, simply increase this value.  Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd) MaxInstances                    30 # Set the user and group that the server normally runs at. User                            toti #Group                          nogroup # Normally, we want files to be overwriteable. #<Directory /opt/lampp/htdocs/*> <Directory /root/Public/*>   AllowOverwrite                on </Directory> # only for the web servers content #DefaultRoot /opt/lampp/htdocs DefaultRoot /root/Public # nobody gets the password "lampp" # commented out by lampp security #UserPassword nobody wRPBu8u4YP0CY UserPassword toti vWP/y6C89VDGo # nobody is no normal user so we have to allow users with no real shell RequireValidShell off # nobody may be in /etc/ftpusers so we also have to ignore this file UseFtpUsers off

На Рутера (външно Ип 192.***.**.**)

-iptables -A PREROUTING  -d 192.***.**.** -i ppp0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.222:21

И от произволен комп от интернет

Примерен код

nmap 195.***.**.** Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2008-04-16 09:24 EDT Interesting ports on 192.***.**.**: (The 1653 ports scanned but not shown below are in state: closed) PORT      STATE    SERVICE 21/tcp    open     ftp ........    ......... ......... ........   .........  ..........

Благодаря предварително ...

[neter]

Нека пренасочването изглежда така

Примерен код

/sbin/iptables -A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DNAT --to 192.168.1.222:21

[toti84]

За съжаление, като сменя мойто правило с твоето, отново го има този проблем.

Ако трябва да съм по-детайлен това съобщение:

Примерен код

An error occured openig that folder on FTP Server. Make sure you have permission to access that folder.

се показва от Windows машини.

Но при проба то Линукс, след мислене от около 5 мин. ми се отваря страница:

Примерен код

Index of ftp://192.***.***.**/ -------------------------------------------- Up to higher level directory --------------------------------------------

И без да показва никакви папки при положене, че съм сигурен в това че трябва да има папки.

[Slevin_]

Поради особеностите на ФТП протокола само пренасочване на 21 порт няма да стане.
Ето ти помощ от google proftpd passive mode  proftpd behind nat
Ако след прочетено отново не се получава, пиши какво точно си направил и ще помагаме с каквото можем.
Иначе е ясно от къде се получава проблема.

[neter]

Поради особеностите на FTP протокола, само пренасочване на порт 21 може да бъде достатъчно, ако се използват пасивни връзки, каквито се използват по подразбиране в клиентите. Ето четиво.
toti84, покажи изходите от тези команди

Примерен код

iptables -L iptables -L -t nat

[toti84]

Ще карам подред:

към Slevin_

Използвах този пост за информация тук

като добавих тези двата реда в proftp.conf

Примерен код

DefaultAddress 192.168.1.222 PassivePorts 30000 30050

proftpd reload
добавих и следното правило на рутера :

Примерен код

-A INPUT -d 192.168.1.222 -p tcp --dport 30000:30050 -j ACCEPT

Но проблема продължава...

Към neter

Примерен код

iptables -L Chain INPUT (policy ACCEPT) target     prot opt source               destination REJECT     tcp  --  anywhere             anywhere            tcp dpt:sunrpc reject-with icmp-port-unreachable ACCEPT     tcp  --  anywhere             192.168.1.222       tcp dpts:30000:30050 Chain FORWARD (policy ACCEPT) target     prot opt source               destination ACCEPT     all  --  anywhere             anywhere ACCEPT     all  --  anywhere             anywhere ACCEPT     all  --  anywhere             anywhere ACCEPT     all  --  anywhere             anywhere Chain OUTPUT (policy ACCEPT) target     prot opt source               destination

Примерен код

iptables -L -t nat Chain PREROUTING (policy ACCEPT) target     prot opt source               destination DNAT       tcp  --  212.21.***.***/30     192.***.**.**       tcp dpt:radmin-port to:192.168.0.11:4899 DNAT       tcp  --  212.21.***.***/30     192.***.**.**       tcp dpt:5900 to:192.168.0.11:5900 DNAT       tcp  --  212.21.***.***/30     192.***.**.**       tcp dpt:jetdirect to:192.168.0.10:9100 DNAT       tcp  --  anywhere             192.***.**.**       tcp dpt:ipp to:192.168.1.119:631 DNAT       tcp  --  anywhere             anywhere            tcp dpt:ftp to:192.168.1.222 Chain POSTROUTING (policy ACCEPT) target     prot opt source               destination SNAT       all  --  192.168.0.0/24       anywhere            to:192.***.**.** SNAT       all  --  192.168.1.0/24       anywhere            to:192.***.**.** Chain OUTPUT (policy ACCEPT) target     prot opt source               destination

[shadow_qwe]

Ми по мое скромно мнение има няколко пропуска.

1. Не видях POSTROUTING верига да връща обратно към рутера отговорите на фтп сървъра.

2. Хубаво си сложил фтп сървърът да приема заявки на пасивните портове, но те трябва да идват от клиента и да се пренасочват от рутера към сървъра, (както е с 21 порт) и съответно с POSTROUTING верига да се връщат обратно.

Но ако ме питаш мен най -добре го изкарай на рутера си, иначе ще обясняваш на един куп хора защо IE не го отжаря и как да го накарат да работи в пасив мод

[Slevin_]

Цитат (neter @ Април 16 2008,15:49)

... само пренасочване на порт 21 може да бъде достатъчно, ако се използват пасивни връзки, каквито се използват по подразбиране в клиентите.

Правилно neter, а къде му е пренасочването в маршрутизатора на портове за пасивните връзки.
И в конфигурационния файл на proftpd не ги виждам.
Чак след това е направил нещо по този въпрос.
Проблема му на 100% е след издаване на команда PASV от страна на клиента,

toti84, я пробвай, с директивата
MasqueradeAddress xxx.xxx.xxx.xxx
Където xxx.xxx.xxx.xxx е адреса на самия маршрутизатор.
И кажи какво се получава.

[VladSun]

Освен всичко останало, ip_conntrack_ftp модулът зареден ли е?

[gat3way]

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.0.0/24       anywhere            to:192.***.**.**
SNAT       all  --  192.168.1.0/24       anywhere            to:192.***.**.**

Абе на този твой рутер има ли въобще интерфейс с вдигнат публичен адрес? Защото ако не е така, проблемът е съвсем различен и невъзможността съответно да се реши проблема скача с няколко порядъка.

[toti84]

Пробвах с MasqueradeAddress дерективата и пак го има проблема

ip_conntrack_ftp модула е зареден

има вдингнат публичен адрес (192.***.**.**)

[neter]

Областта 192.168.0.0 – 192.168.255.255 е резервирана за частни мрежи. Ако адресът ти започва със 192.168, то това е частен, а не публичен адрес и проблемът вече е ясен какъв е - просто външните машини нямат видимост до теб, защото си с частен адрес. Има публични мрежи, които започват със 192, на които втората група цифри не е 168, но не съм чувал някой в България да раздава такива адреси. Дори не съм сигурен къде се използват.

[Slevin_]

Х-м, я пробвай с някой онлайн порт скенер. Примерно
http://nmap-online.com/
http://www.t1shopper.com/tools/port-scanner/
neter ти е написал за частните адреси.
Но все пак, ако се ползва NAT 1:1

Май в темата само гадаеме.

[toti84]

E добре адреса ми е публичен (192.113.***.***)

и с nmap-online ми показва, че порт 21 ми е отворен

[Slevin_]

Ти осъществяваш комуникацията по порт 21, но този порт се ползва за командите към сървара. Транспортирането на информация(Data) м/у самия сървър и клиента се осъществява по други портове в зависимост дали ще е в активен или пасивен режим.
В един от предишните постове имаше линк, в който нагледно са описани двата режима.
Ето ти още едно четиво за спецификацията на FTP протокола RFC 959
При теб явно проблема е с виждането на съдържанието на сървара.
Вземи с някой FTP клиент и направи опит да се вържеш отвън през  192.113.***.***
Гледай лога и кажи в кой момент се дъни.
Или направо "пусни" лога тук да го видим.