Проблема с ProFTPD помогите.

[YSL]

Есть две подсети например 192.168.1.1 (bge0) инет и 10.10.10.1 (rlo) локалка, сервак FreeBSD 8.1, настроен ProFTPD.
Для доступа Anonymous к ftp из подсети 192.168.1.1 (bge0)
/usr/local/etc/proftpd.conf

Код: Выделить всё

# Анонимный доступ
<Anonymous /ftp>
   User                         ftp
   Group                        ftp

# Разрешаем клиентом заходить как под логином "anonymous", так и под "ftp"
UserAlias anonymous ftp

# Не проверять валидность shell у анонимного пользователя
RequireValidShell       off

# Отключаем запрос пароля у анонимных
RequireValidShell off
AnonRequirePassword off

# Ограничение кол-ва максимальных соединений анонимных пользователей
MaxClients 10

# Ограничения на вход для анонимных пользователей
        <Limit LOGIN>
                # Пускаем всех
                AllowAll
        </Limit>
        # Ограничение на запись для анонимных пользователей
        <Limit WRITE>
                # Запрещаем всем
                DenyAll
        </Limit>
</Anonymous>

и для пасивного режима

Код: Выделить всё

# Интервал портов для работы в пассивном режиме (min max)
PassivePorts 49152 65534

в ipfw

Код: Выделить всё

00001     1090       88907 allow tcp from any 21 to any
00002     1194       56859 allow tcp from any to any dst-port 21
00003  5237130   272368527 allow tcp from any 20 to any
00004  8305307 11501122690 allow tcp from any to any dst-port 20

00010   119871   128194123 allow tcp from 192.168.1.0/24 49152-65534 to me dst-port 49152-65534 keep-state

из под сети 192.168.1.1 (bge0) все работает отлично, но вот из под 10.10.10.1 (rlo) не работает, на ftp заходит но просит пароль Anonymous и не работает пасивный режим.

Где нужно поправит чтобы работало, спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dmtr]

покажите все правила ipfw

Код: Выделить всё

ipfw list

и лог proftpd во время подключения на 10.10.10.1 (rlo)

[YSL]

Код: Выделить всё

00001 allow tcp from any 21 to any
00002 allow tcp from any to any dst-port 21
00003 allow tcp from any 20 to any
00004 allow tcp from any to any dst-port 20
00010 allow tcp from 192.168.1.0/24 49152-65534 to me dst-port 49152-65534 keep-state
00011 allow tcp from any 10000 to any
00012 allow tcp from any to any dst-port 10000
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via bge0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv bge0
00420 divert 1 ip from any to any
00450 divert 2 ip from any to any
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00510 divert 1 ip from any to any
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state
01020 allow udp from any to any keep-state
01100 allow ip from any to any
02000 check-state
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 80,443
02050 deny ip from any to any via bge0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
05000 deny ip from not table(0) to any
05001 skipto 5010 ip from table(127) to table(126)
05002 skipto 5030 ip from any to not table(2)
05003 deny ip from any to not table(1)
05004 pipe tablearg ip from table(21) to any
05005 deny ip from any to any
05010 pipe tablearg ip from table(127) to any
05030 deny tcp from table(15) to any dst-port 25
05400 pipe tablearg ip from table(11) to any
32000 deny ip from any to any
32490 deny ip from any to any
33000 pipe tablearg ip from table(126) to table(127)
33001 skipto 33010 ip from not table(2) to any
33002 pipe tablearg ip from any to table(20)
33003 deny ip from any to any
33400 pipe tablearg ip from any to table(10)
65535 deny ip from any to any

лог не ведется

[YSL]

Код: Выделить всё

[root@router /home/ysl]# tail -f /var/log/proftpd/proftpd.log
Feb 12 15:21:49 router.local proftpd[1968] router.local: ProFTPD 1.3.4b (maint) (built Sat Feb 2 2013 23:56:25 EET) standalone mode STARTUP
Feb 12 15:22:01 router.local proftpd[1986] router.local (10.10.10.34[10.10.10.34]): FTP session opened.
Feb 12 15:23:04 router.local proftpd[1986] router.local (10.10.10.34[10.10.10.34]): FTP session closed.
Feb 12 15:23:08 router.local proftpd[2011] router.local (10.10.10.34[10.10.10.34]): FTP session opened.
Feb 12 15:23:09 router.local proftpd[2011] router.local (10.10.10.34[10.10.10.34]): Preparing to chroot to directory '/ftp'
Feb 12 15:23:09 router.local proftpd[2011] router.local (10.10.10.34[10.10.10.34]): ANON ftp: Login successful.
Feb 12 15:23:13 router.local proftpd[2011] router.local (10.10.10.34[10.10.10.34]): FTP session closed.
Feb 12 15:23:15 router.local proftpd[2012] router.local (10.10.10.34[10.10.10.34]): FTP session opened.

C 10.10.10.34 подключается но идет запрос пароля жмеш OK и уже на ftp.
Хотя с 192.168.1.0 подсети запроса пароля нет и пасивный режим работает.
Почему из под сети 10.10.10.0/24 не понимает правил которые прописаны в /usr/local/etc/proftpd.conf ????

[YSL]

C 10.10.10.34 через total comander подключается но идет запрос пароля жмеш OK и уже на ftp, и если поставить галочку (Пасивный режим обмена)
для доступа с web браузера то он долго думает и потом только открывает, с web браузера ничего не происходит.

Хотя с 192.168.1.0 подсети запроса пароля нет и пасивный режим работает. с web браузера заходит без проблем
Почему из под сети 10.10.10.0/24 не понимает правил которые прописаны в /usr/local/etc/proftpd.conf ????

[dmtr]

весь конфиг профтпд покажите еще

[YSL]

Код: Выделить всё

ServerName                      "PROFTPD Server"
ServerType                      standalone
DefaultServer                   on
ScoreboardFile          /var/run/proftpd/proftpd.scoreboard


# Указываем, на каком IP-адресе будет работать ftp
DefaultAddress                  192.168.1.100

# Порт, слушаемый сервером
Port 21
Umask 022

# Интервал портов для работы в пассивном режиме (min max)
PassivePorts 49152 65534

# Доступ root
RootLogin On

# Максимальное кол-во одновременных соединений
MaxInstances 30

CommandBufferSize       512

# имя пользователя и группа, под которой запускается proftpd
User nobody
Group nogroup
AllowOverwrite on

# Bar use of SITE CHMOD by default
<Limit SITE_CHMOD>
  DenyAll
</Limit>

<Limit LOGIN>
    AllowAll
</Limit>

#Полный доступ root всем запрет в корневую папку /
<Directory />
                        AllowOverwrite on
                        AllowStoreRestart on
                        DeleteAbortedStores on
                        <Limit ALL>
                                AllowUser root
                                Deny ALL
                        </Limit>
</Directory>
# Анонимный доступ
<Anonymous /ftp>
   User                         ftp
   Group                        ftp

# Разрешаем клиентом заходить как под логином "anonymous", так и под "ftp"
UserAlias anonymous ftp

# Не проверять валидность shell у анонимного пользователя
RequireValidShell       off

# Отключаем запрос пароля у анонимных
RequireValidShell off
AnonRequirePassword off

# Ограничение кол-ва максимальных соединений анонимных пользователей
MaxClients 10

# Ограничения на вход для анонимных пользователей
        <Limit LOGIN>
                # Пускаем всех
                AllowAll
        </Limit>
        # Ограничение на запись для анонимных пользователей
        <Limit WRITE>
                # Запрещаем всем
                DenyAll
        </Limit>
</Anonymous>

LogFormat                       default «%h %l %u %t \»%r\» %s %b»
LogFormat                       auth    «%v [%P] %h %t \»%r\» %s»
LogFormat                       write   «%h %l %u %t \»%r\» %s %b»

SystemLog                       /var/log/proftpd/proftpd.log
TransferLog                     /var/log/proftpd/xfer.log
ExtendedLog                     /var/log/proftpd/access.log WRITE,READ write
ExtendedLog                     /var/log/proftpd/auth.log AUTH auth

[dmtr]

в опции DefaultAddress должны быть прописаны все адреса на которых должен принимать запросы фтп-сервер. у вас он слушаеть только 192.168.1.100.
непонято что там отвечает у вас на 10.10.10.1 (rlo). на нем не отдельный фтп-сервер случайно поднят?

если хотите разбираться покажите

Код: Выделить всё

netstat -an|grep tcp|grep "\.21"|grep LIST

Код: Выделить всё

ps aux|grep ftp

[YSL]

Код: Выделить всё

[root@router /home/ysl]# netstat -an|grep tcp|grep "\.21"|grep LIST
tcp4       0      0 *.21                   *.*                    LISTEN
[root@router /home/ysl]# ps aux|grep ftp
nobody   1968  0.0  0.3  6592  3480  ??  Ss    3:21PM   0:00.06 proftpd: (accepting connections) (proftpd)
root     2937  0.0  0.1  3496  1252   0  S+    4:12PM   0:00.00 grep ftp

Это один сервер и настроен только proftpd

[dmtr]

так и чего? вы не видите несоотвествия?

Код: Выделить всё

# Указываем, на каком IP-адресе будет работать ftp
DefaultAddress                  192.168.1.100

Код: Выделить всё

[root@router /home/ysl]# netstat -an|grep tcp|grep "\.21"|grep LIST
tcp4       0      0 *.21                   *.*                    LISTEN

сервер использует не тот конфиг который вы выложили

[YSL]

Менял на

# Указываем, на каком IP-адресе будет работать ftp
DefaultAddress 10.10.10.1

разници нет

нет конфиг один, менял название ServerName "PROFTPD Server", при входе через total что на 192.168.1.0 что на 10.10.10.1 одно название что доказывает что конфиг один, но почему с подсети 10.10.10.1 не исполняются все правила для анонима не пойму вот в чем вопрос.

[YSL]

tail -f /var/log/proftpd/proftpd.log

Код: Выделить всё

Feb 12 16:33:54 router.local proftpd[3454] router.local.: ProFTPD 1.3.4b (maint) (built Sat Feb 2 2013 23:56:25 E  ET) standalone mode STARTUP
Feb 12 16:34:05 router.local proftpd[3455] router.local. (192.168.1.110[192.168.1.110]): FTP session opened.
Feb 12 16:34:05 router.local proftpd[3455] router.local. (192.168.1.110[192.168.1.110]): Preparing to chroot to d  irectory '/ftp'
Feb 12 16:34:05 router.local proftpd[3455] router.local. (192.168.1.110[192.168.1.110]): ANON ftp: Login successf  ul.
Feb 12 16:34:18 router.local proftpd[3456] router.local. (10.10.10.34[10.10.10.34]): FTP session opened.

тут понятно в чем дело ???

[dmtr]

Код: Выделить всё

DefaultAddress                  192.168.1.100 10.10.10.1
SocketBindTight                 on

и перезапустите сервер

[YSL]

Ничего не изменилось

Код: Выделить всё

Feb 12 17:05:18 router.local proftpd[4176] router.local: ProFTPD 1.3.4b standalone mode SHUTDOWN
Feb 12 17:06:23 router.local proftpd[1445] router.local: ProFTPD 1.3.4b (maint) (built Sat Feb 2 2013 23:56:25 EET) standalone mode STARTUP
Feb 12 17:10:03 router.local proftpd[1785] router.local (192.168.1.110[192.168.1.110]): FTP session opened.
Feb 12 17:10:03 router.local proftpd[1785] router.local (192.168.1.110[192.168.1.110]): Preparing to chroot to directory '/ftp'
Feb 12 17:10:03 router.local proftpd[1785] router.local (192.168.1.110[192.168.1.110]): ANON ftp: Login successful.
Feb 12 17:10:11 router.local proftpd[1786] router.local (10.10.10.34[10.10.10.34]): FTP session opened.

[YSL]

Ну что спецы, что так сложно ))))))

Ну почему конфиг proftpd в одной подсети исполняется а в другой нет ????????????????????????

[dmtr]

херня какая-то покажите вывод ifconfig

[YSL]

Ну что есть то есть ))

Код: Выделить всё

[root@router /home/ysl]# ifconfig
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether XX:XX:XX:XX:XX:XX
        inet 192.168.1.100 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether XX:XX:XX:XX:XX:XX
        inet 10.10.10.1 netmask 0xffffff00 broadcast 10.10.10.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
pflog0: flags=0<> metric 0 mtu 33200
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000

[dmtr]

а клиент в обоих случаях одинаковый?

[dmtr]

Код: Выделить всё

00010 allow tcp from 192.168.1.0/24 49152-65534 to me dst-port 49152-65534 keep-state

вот это правило наверно надо продублировать для второй подсети?

[YSL]

Не в ipfw проблема, добавлял никакого эфекта.
Еще раз повторяю, из подсети 10.10.10.1 заходит на ftp, но просто спрашивает пароль и не работает в пасивном режиме, чего нет из под сети 192.168.1.0
Вопрос в том почему, или что может быть причиной не исполнения конфига proftpd из разных подсетей, ?????????

Вот видно сессию открывает, и спрашивает пароль у 10.10.10.34, чего не происходит с 192.168.1.110 вот и все.

Код: Выделить всё

Feb 12 17:05:18 router.local proftpd[4176] router.local: ProFTPD 1.3.4b standalone mode SHUTDOWN
Feb 12 17:06:23 router.local proftpd[1445] router.local: ProFTPD 1.3.4b (maint) (built Sat Feb 2 2013 23:56:25 EET) standalone mode STARTUP
Feb 12 17:10:03 router.local proftpd[1785] router.local (192.168.1.110[192.168.1.110]): FTP session opened.
Feb 12 17:10:03 router.local proftpd[1785] router.local (192.168.1.110[192.168.1.110]): Preparing to chroot to directory '/ftp'
Feb 12 17:10:03 router.local proftpd[1785] router.local (192.168.1.110[192.168.1.110]): ANON ftp: Login successful.
Feb 12 17:10:11 router.local proftpd[1786] router.local (10.10.10.34[10.10.10.34]): FTP session opened.

[YSL]

Все,???!!! Решений больше нет ??? (((

[YSL]

Проблему так никто не смог решить, скорей всего глюк в proftpd, снес и поставил vsftpd все заработало ))

[sergko]

Была похожая беда, решилась так:

Код: Выделить всё

#${fwcmd} nat 190 config ip ${ext_ip} reset same_ports log
#${fwcmd} nat 190 config ip ${ext_ip} deny_in reset same_ports log # это правило с deny_in не дает нормально работать proftpd

Надеюсь помог!

p.s. Что то с фаерволом...

[kharkov_max]

Была похожая беда, решилась так:

Код: Выделить всё

#${fwcmd} nat 190 config ip ${ext_ip} reset same_ports log
#${fwcmd} nat 190 config ip ${ext_ip} deny_in reset same_ports log # это правило с deny_in не дает нормально работать proftpd

Надеюсь помог!

p.s. Что то с фаерволом...

А я у себя поднял 2 virtualhost на разных IP и не парился с nat, а фильтрацию подкрутить можно ...