proftpd ?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Da1VER
рядовой
Сообщения: 43
Зарегистрирован: 2006-09-30 23:04:19
Контактная информация:

proftpd ?

Непрочитанное сообщение Da1VER » 2006-11-23 18:48:27

Вопрос всплыл... есть фтпешник который стоит внутри сети ... З внутренней сети на него зайти можна, а вот з внешки непускает... Главный серв который сотрит в инет настроен на редирект через ipnat (ipfilter).
B логах говорит ето -

Код: Выделить всё

Nov 23 17:39:15 kasper.kiev.ua proftpd[32889] kasper.kiev.ua: ProFTPD (stable) 
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): FTP session opened.
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 74 usecs
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): ANON anonymous: Login successful.
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): Preparing to chroot to directory '/usr/storage/shared'
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 196 usecs
Nov 23 17:39:57 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): notice: user ftpuser: aborting transfer: Data connection closed.
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): FTP session opened.
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 43 usecs
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): ANON anonymous: Login successful.
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): Preparing to chroot to directory '/usr/storage/shared'
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 281 usecs
Nov 23 17:43:19 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): FTP session closed.
Кто может чтото подсказать ??? :?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-11-23 18:51:28

Погодь... а шо говорит команда:

Код: Выделить всё

office[17:51]#=> sockstat|grep ftp
На каких сетевых интерфейсах висит ФПТ-демон?

Аватара пользователя
Da1VER
рядовой
Сообщения: 43
Зарегистрирован: 2006-09-30 23:04:19
Контактная информация:

Непрочитанное сообщение Da1VER » 2006-11-23 23:47:25

Код: Выделить всё

/usr/local/etc/>sockstat|grep ftp
nobody   proftpd    32889 0  tcp4   *:40021               *:*
/usr/local/etc/>
Ну вобщето там один интерфейс и сервер внутри за натом, который построен на ipnаt (ipfilter), на тачке которая натит весит редирект на внутреннюю... вот и все.

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-11-26 1:28:03

ну дак там мало одного редиректа, нужно ещё правило в фаере добавить что можно коннектиться и работать!!! Плюс у него должен быть шлюзом по умолчанию как раз сервак с натом.
Всё дело в перце!! :)

Аватара пользователя
Da1VER
рядовой
Сообщения: 43
Зарегистрирован: 2006-09-30 23:04:19
Контактная информация:

Непрочитанное сообщение Da1VER » 2006-11-26 16:48:40

zorg писал(а):ну дак там мало одного редиректа, нужно ещё правило в фаере добавить что можно коннектиться и работать!!! Плюс у него должен быть шлюзом по умолчанию как раз сервак с натом.
Все ето давным давно включено... всеравно неидет...
Когда конектишся фаром все нормально проходит до команды лист....а потом выбивает по таймауту !

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-11-26 19:02:57

а это как раз из-за активных/пассивных режимов...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Da1VER
рядовой
Сообщения: 43
Зарегистрирован: 2006-09-30 23:04:19
Контактная информация:

Непрочитанное сообщение Da1VER » 2006-11-27 11:11:01

lissyara писал(а):а это как раз из-за активных/пассивных режимов...
Вобщемто при конекте использовал пасивный режым, так как активный вобще нехочет ити...
Может чтото нуно в конфиг дописать :?:
Просто трабл в том что у него 1 интерфейс ..сервак внутри сети...внутри к нему и по пасивке и по активке нормально конектишся....но за натом активка вобще неидет а по пасивке доходит только до листа....

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-11-27 13:39:33

ну а ты помнишь чем отличаются пассивный и активный режимы?? Правила в фаере соответствующие???
Всё дело в перце!! :)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-11-27 15:16:48

Da1VER писал(а):
lissyara писал(а):а это как раз из-за активных/пассивных режимов...
Вобщемто при конекте использовал пасивный режым, так как активный вобще нехочет ити...
Может чтото нуно в конфиг дописать :?:
Просто трабл в том что у него 1 интерфейс ..сервак внутри сети...внутри к нему и по пасивке и по активке нормально конектишся....но за натом активка вобще неидет а по пасивке доходит только до листа....
C 20 порта к тебе соединение идёт на клиента. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Da1VER
рядовой
Сообщения: 43
Зарегистрирован: 2006-09-30 23:04:19
Контактная информация:

Непрочитанное сообщение Da1VER » 2006-11-27 18:37:24

dikens3 писал(а):
Da1VER писал(а):
lissyara писал(а):а это как раз из-за активных/пассивных режимов...
Вобщемто при конекте использовал пасивный режым, так как активный вобще нехочет ити...
Может чтото нуно в конфиг дописать :?:
Просто трабл в том что у него 1 интерфейс ..сервак внутри сети...внутри к нему и по пасивке и по активке нормально конектишся....но за натом активка вобще неидет а по пасивке доходит только до листа....
C 20 порта к тебе соединение идёт на клиента. :-)
А 20 порт то зачем ... для фтп используются же 21 ... :?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-11-27 18:46:27

FTP зло. :-)

Прочитай что-нибудь в инете про Активный/Пассивный FTP
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
RaDiST_1977
мл. сержант
Сообщения: 86
Зарегистрирован: 2006-10-31 12:04:36
Откуда: Зеленоград

Непрочитанное сообщение RaDiST_1977 » 2006-12-04 19:35:17

А 20 порт то зачем ... для фтп используются же 21 ... :?
21 порт - управляющий
20 порт - для передачи данных - это в случае использования актмвного режима

в пассиве используется диапазон портов например 25500-25550
в конфиге профтр пропиши директиву PassivePorts 25500-25550
впринципе должно заработать [/quote]

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Непрочитанное сообщение OSBoy » 2007-05-01 18:32:04

А на lissyara.su есть статья по настройке proftpd??? Не нашёл чё то! :?
Мне как раз сейчас нужен хорошо разжёванный мануал по нему.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-05-01 18:35:45

http://www.lissyara.su/?id=1144
насчёт прям разжёванности - не знаю...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Непрочитанное сообщение Daywalker » 2007-05-02 12:27:28

OSBoy писал(а):А на lissyara.su есть статья по настройке proftpd??? Не нашёл чё то! :?
Мне как раз сейчас нужен хорошо разжёванный мануал по нему.
Вот ссылки, которыми пользовался я при установке proftpd:

http://unix1.jinr.ru/~lavr/local/proftpd.html
http://bog.pp.ru/work/ProFTPD.html
http://www.fwz.ru/article_full.php?aid=68

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Непрочитанное сообщение OSBoy » 2007-05-02 19:01:09

Код: Выделить всё

TransferRate RETR,STOR,APPE 150 user !root
Расшифруйте кто нибудь, что здесь означает APPE?
Читал где-то, что эта строка ограничивает по юзерам, а не общую скорость? А как общую ограничить?
И ещё вопрос: когда создаёшь юзера ftp, какую ему shell и home directory выбирать нужно?

Аватара пользователя
RaDiST_1977
мл. сержант
Сообщения: 86
Зарегистрирован: 2006-10-31 12:04:36
Откуда: Зеленоград

Непрочитанное сообщение RaDiST_1977 » 2007-05-03 19:39:38

OSBoy писал(а):

Код: Выделить всё

TransferRate RETR,STOR,APPE 150 user !root
Расшифруйте кто нибудь, что здесь означает APPE?
Читал где-то, что эта строка ограничивает по юзерам, а не общую скорость? А как общую ограничить?
И ещё вопрос: когда создаёшь юзера ftp, какую ему shell и home directory выбирать нужно?
APPE означает, что юзер может докачать файл в случае дисконнекта
как раз она ограничивает скорость всем, кроме рута
шелл - /usr/sbin/nologin
хомяк - ето уже как твой извращенный разум тебе подскажет=))
у меня например /var/ftp, причем ето отдельная партиция
и еще насчет шелла:
рекомендую внести в конфиг такую строку
RequireValidShell off
тогда демон не будет проверять валидность шелла

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Непрочитанное сообщение OSBoy » 2007-05-03 20:30:15

Ага, спасибо! значит с юзером я всё правильно сделал, лишний раз убедился в этом!
Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?

И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:

Код: Выделить всё

# Chroot for groups
# Root
	DefaultRoot / wheel
# Anonymous
	DefaultRoot /usr/FTP users
# Users
#	DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-05-03 20:51:42

OSBoy писал(а): Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?
думаю, что всем
И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:

Код: Выделить всё

# Chroot for groups
# Root
	DefaultRoot / wheel
# Anonymous
	DefaultRoot /usr/FTP users
# Users
#	DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!
где ты нашел етот бред=))
ни в коем случае нельзя разрешать рутовый логин, если не хочешь, чтобы твой сервак отымели какие нить отмороженные малолетки=))
просто надо создать какого нить юзера из группы wheel(для себя, чтобы контент админить), и разрешить ему шариться по всему серваку, и естесственно пароль ему посложнее
а сделать ето можно так
DefaultRoot ~ - ето запрет всех юзеров в их хомяках
а для юзера, например пупкина, чтобы разрешить ему шариться по всему серванту, можно сделать так
DefaultRoot ~ !pupkin

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-05-03 20:53:12

Anonymous писал(а):
OSBoy писал(а): Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?
думаю, что всем
И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:

Код: Выделить всё

# Chroot for groups
# Root
	DefaultRoot / wheel
# Anonymous
	DefaultRoot /usr/FTP users
# Users
#	DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!
где ты нашел етот бред=))
ни в коем случае нельзя разрешать рутовый логин, если не хочешь, чтобы твой сервак отымели какие нить отмороженные малолетки=))
просто надо создать какого нить юзера из группы wheel(для себя, чтобы контент админить), и разрешить ему шариться по всему серваку, и естесственно пароль ему посложнее
а сделать ето можно так
DefaultRoot ~ - ето запрёт всех юзеров в их хомяках
а для юзера, например пупкина, чтобы разрешить ему шариться по всему серванту, можно сделать так
DefaultRoot ~ !pupkin

Аватара пользователя
RaDiST_1977
мл. сержант
Сообщения: 86
Зарегистрирован: 2006-10-31 12:04:36
Откуда: Зеленоград

Непрочитанное сообщение RaDiST_1977 » 2007-05-03 20:55:01

пардон, залогиниться забыл))
Anonymous писал(а):
Anonymous писал(а):
OSBoy писал(а): Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?
думаю, что всем
И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:

Код: Выделить всё

# Chroot for groups
# Root
	DefaultRoot / wheel
# Anonymous
	DefaultRoot /usr/FTP users
# Users
#	DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!
где ты нашел етот бред=))
ни в коем случае нельзя разрешать рутовый логин, если не хочешь, чтобы твой сервак отымели какие нить отмороженные малолетки=))
просто надо создать какого нить юзера из группы wheel(для себя, чтобы контент админить), и разрешить ему шариться по всему серваку, и естесственно пароль ему посложнее
а сделать ето можно так
DefaultRoot ~ - ето запрёт всех юзеров в их хомяках
а для юзера, например пупкина, чтобы разрешить ему шариться по всему серванту, можно сделать так
DefaultRoot ~ !pupkin

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Непрочитанное сообщение OSBoy » 2007-05-05 23:27:29

Вот значит такая секция есть:

Код: Выделить всё

<Anonymous /usr/FTP>
        User                    ftp
        Group                   ftp
        UserAlias               anonymous ftp
        RequireValidShell       off
        AnonRequirePassword     off
        MaxClients 5            "Too many users, please try again later"
        DisplayChdir            .message
        <Limit WRITE>
        DenyAll
        </Limit>
        </Anonymous>
Чё конкретно сюда нужно вставить, штоб анонимусы могли создавать папки, кидать файлы и т.д. в каталог /usr/FTP/UPLOAD ?
Только если можно конкретный кусок конфига дайте, а то у меня после вечера ёбли с proftpd уже мозги пухнут! А там, дальше уж как нибудь разберусь...
А, да, ещё важный момент: допустим будет им доступ на запись в /UPLOAD, соотв. права на каталог выставлю, замечательно.... а как сделать, чтобы при всём при этом они (анонимусы) в этом самом каталоге /UPLOAD ещё и не смогли ничего потереть???

Аватара пользователя
RaDiST_1977
мл. сержант
Сообщения: 86
Зарегистрирован: 2006-10-31 12:04:36
Откуда: Зеленоград

Непрочитанное сообщение RaDiST_1977 » 2007-05-06 10:25:51

OSBoy писал(а):Вот значит такая секция есть:

Код: Выделить всё

<Anonymous /usr/FTP>
        User                    ftp
        Group                   ftp
        UserAlias               anonymous ftp
        RequireValidShell       off
        AnonRequirePassword     off
        MaxClients 5            "Too many users, please try again later"
        DisplayChdir            .message
        <Limit WRITE>
        DenyAll
        </Limit>
        </Anonymous>
Чё конкретно сюда нужно вставить, штоб анонимусы могли создавать папки, кидать файлы и т.д. в каталог /usr/FTP/UPLOAD ?
Только если можно конкретный кусок конфига дайте, а то у меня после вечера ёбли с proftpd уже мозги пухнут! А там, дальше уж как нибудь разберусь...
А, да, ещё важный момент: допустим будет им доступ на запись в /UPLOAD, соотв. права на каталог выставлю, замечательно.... а как сделать, чтобы при всём при этом они (анонимусы) в этом самом каталоге /UPLOAD ещё и не смогли ничего потереть???
вот кусок моего конфига

Код: Выделить всё

<Anonymous ~ftp>
    User ftp
    Group ftp
    UserAlias anonymous ftp
    AuthAliasOnly on
    RequireValidShell off
    MaxClients 4 "Sorry, the maximum number of alowed users (4) already connected. Please, try again later"
    MaxClientsPerHost 1
    <Limit WRITE>
	DenyAll
    </Limit>

<Directory /ftp/incoming>
<Limit STOR APPE MKD>
    AllowAll
</Limit>
 </Directory>           
  </Anonymous>
 
надеюсь понятно=)
только каталогу incoming (или upload) необходимо сменить владельца на ftp
chown -Rv ftp:ftp /var/ftp/incoming
после етого анонимусы смогут туда лить, сздавать там каталоги, но удалять ничего не смогут

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Непрочитанное сообщение OSBoy » 2007-05-06 10:45:23

Да, в принципе всё понятно, кроме MKD - что оно значит?
И ещё вот: Если у меня каталог /FTP и /FTP/UPLOAD принадлежат юзеру ftp-admin:ftp (от него proftp запускается), а анонимусы ходят от юзера ftp:ftp - такой вариант покатит?

Аватара пользователя
RaDiST_1977
мл. сержант
Сообщения: 86
Зарегистрирован: 2006-10-31 12:04:36
Откуда: Зеленоград

Непрочитанное сообщение RaDiST_1977 » 2007-05-06 10:48:35

OSBoy писал(а):Да, в принципе всё понятно, кроме MKD - что оно значит?
И ещё вот: Если у меня каталог /FTP и /FTP/UPLOAD принадлежат юзеру ftp-admin:ftp (от него proftp запускается), а анонимусы ходят от юзера ftp:ftp - такой вариант покатит?
прокатит
MKD - создание каталогов