Страница 1 из 2
proftpd ?
Добавлено: 2006-11-23 18:48:27
Da1VER
Вопрос всплыл... есть фтпешник который стоит внутри сети ... З внутренней сети на него зайти можна, а вот з внешки непускает... Главный серв который сотрит в инет настроен на редирект через ipnat (ipfilter).
B логах говорит ето -
Код: Выделить всё
Nov 23 17:39:15 kasper.kiev.ua proftpd[32889] kasper.kiev.ua: ProFTPD (stable)
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): FTP session opened.
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 74 usecs
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): ANON anonymous: Login successful.
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): Preparing to chroot to directory '/usr/storage/shared'
Nov 23 17:39:35 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 196 usecs
Nov 23 17:39:57 kasper.kiev.ua proftpd[32890] kasper.kiev.ua (217.66.100.70[217.66.100.70]): notice: user ftpuser: aborting transfer: Data connection closed.
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): FTP session opened.
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 43 usecs
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): ANON anonymous: Login successful.
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): Preparing to chroot to directory '/usr/storage/shared'
Nov 23 17:42:55 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): mod_delay/0.5: delaying for 281 usecs
Nov 23 17:43:19 kasper.kiev.ua proftpd[32903] kasper.kiev.ua (217.66.100.70[217.66.100.70]): FTP session closed.
Кто может чтото подсказать ???
Добавлено: 2006-11-23 18:51:28
proxy-man
Погодь... а шо говорит команда:
На каких сетевых интерфейсах висит ФПТ-демон?
Добавлено: 2006-11-23 23:47:25
Da1VER
Код: Выделить всё
/usr/local/etc/>sockstat|grep ftp
nobody proftpd 32889 0 tcp4 *:40021 *:*
/usr/local/etc/>
Ну вобщето там один интерфейс и сервер внутри за натом, который построен на ipnаt (ipfilter), на тачке которая натит весит редирект на внутреннюю... вот и все.
Добавлено: 2006-11-26 1:28:03
zorg
ну дак там мало одного редиректа, нужно ещё правило в фаере добавить что можно коннектиться и работать!!! Плюс у него должен быть шлюзом по умолчанию как раз сервак с натом.
Добавлено: 2006-11-26 16:48:40
Da1VER
zorg писал(а):ну дак там мало одного редиректа, нужно ещё правило в фаере добавить что можно коннектиться и работать!!! Плюс у него должен быть шлюзом по умолчанию как раз сервак с натом.
Все ето давным давно включено... всеравно неидет...
Когда конектишся фаром все нормально проходит до команды лист....а потом выбивает по таймауту !
Добавлено: 2006-11-26 19:02:57
Alex Keda
а это как раз из-за активных/пассивных режимов...
Добавлено: 2006-11-27 11:11:01
Da1VER
lissyara писал(а):а это как раз из-за активных/пассивных режимов...
Вобщемто при конекте использовал пасивный режым, так как активный вобще нехочет ити...
Может чтото нуно в конфиг дописать
Просто трабл в том что у него 1 интерфейс ..сервак внутри сети...внутри к нему и по пасивке и по активке нормально конектишся....но за натом активка вобще неидет а по пасивке доходит только до листа....
Добавлено: 2006-11-27 13:39:33
zorg
ну а ты помнишь чем отличаются пассивный и активный режимы?? Правила в фаере соответствующие???
Добавлено: 2006-11-27 15:16:48
dikens3
Da1VER писал(а):lissyara писал(а):а это как раз из-за активных/пассивных режимов...
Вобщемто при конекте использовал пасивный режым, так как активный вобще нехочет ити...
Может чтото нуно в конфиг дописать
Просто трабл в том что у него 1 интерфейс ..сервак внутри сети...внутри к нему и по пасивке и по активке нормально конектишся....но за натом активка вобще неидет а по пасивке доходит только до листа....
C 20 порта к тебе соединение идёт на клиента. :-)
Добавлено: 2006-11-27 18:37:24
Da1VER
dikens3 писал(а):Da1VER писал(а):lissyara писал(а):а это как раз из-за активных/пассивных режимов...
Вобщемто при конекте использовал пасивный режым, так как активный вобще нехочет ити...
Может чтото нуно в конфиг дописать
Просто трабл в том что у него 1 интерфейс ..сервак внутри сети...внутри к нему и по пасивке и по активке нормально конектишся....но за натом активка вобще неидет а по пасивке доходит только до листа....
C 20 порта к тебе соединение идёт на клиента. :-)
А 20 порт то зачем ... для фтп используются же 21 ...
Добавлено: 2006-11-27 18:46:27
dikens3
FTP зло. :-)
Прочитай что-нибудь в инете про Активный/Пассивный FTP
Добавлено: 2006-12-04 19:35:17
RaDiST_1977
А 20 порт то зачем ... для фтп используются же 21 ...
21 порт - управляющий
20 порт - для передачи данных - это в случае использования актмвного режима
в пассиве используется диапазон портов например 25500-25550
в конфиге профтр пропиши директиву PassivePorts 25500-25550
впринципе должно заработать [/quote]
Добавлено: 2007-05-01 18:32:04
OSBoy
А на lissyara.su есть статья по настройке proftpd??? Не нашёл чё то!
Мне как раз сейчас нужен хорошо разжёванный мануал по нему.
Добавлено: 2007-05-01 18:35:45
Alex Keda
http://www.lissyara.su/?id=1144
насчёт прям разжёванности - не знаю...
Добавлено: 2007-05-02 12:27:28
Daywalker
OSBoy писал(а):А на lissyara.su есть статья по настройке proftpd??? Не нашёл чё то!
Мне как раз сейчас нужен хорошо разжёванный мануал по нему.
Вот ссылки, которыми пользовался я при установке proftpd:
http://unix1.jinr.ru/~lavr/local/proftpd.html
http://bog.pp.ru/work/ProFTPD.html
http://www.fwz.ru/article_full.php?aid=68
Добавлено: 2007-05-02 19:01:09
OSBoy
Расшифруйте кто нибудь, что здесь означает APPE?
Читал где-то, что эта строка ограничивает по юзерам, а не общую скорость? А как общую ограничить?
И ещё вопрос: когда создаёшь юзера ftp, какую ему shell и home directory выбирать нужно?
Добавлено: 2007-05-03 19:39:38
RaDiST_1977
OSBoy писал(а):Расшифруйте кто нибудь, что здесь означает APPE?
Читал где-то, что эта строка ограничивает по юзерам, а не общую скорость? А как общую ограничить?
И ещё вопрос: когда создаёшь юзера ftp, какую ему shell и home directory выбирать нужно?
APPE означает, что юзер может докачать файл в случае дисконнекта
как раз она ограничивает скорость всем, кроме рута
шелл - /usr/sbin/nologin
хомяк - ето уже как твой извращенный разум тебе подскажет=))
у меня например /var/ftp, причем ето отдельная партиция
и еще насчет шелла:
рекомендую внести в конфиг такую строку
RequireValidShell off
тогда демон не будет проверять валидность шелла
Добавлено: 2007-05-03 20:30:15
OSBoy
Ага, спасибо! значит с юзером я всё правильно сделал, лишний раз убедился в этом!
Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?
И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:
Код: Выделить всё
# Chroot for groups
# Root
DefaultRoot / wheel
# Anonymous
DefaultRoot /usr/FTP users
# Users
# DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!
Добавлено: 2007-05-03 20:51:42
Гость
OSBoy писал(а):
Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?
думаю, что всем
И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:
Код: Выделить всё
# Chroot for groups
# Root
DefaultRoot / wheel
# Anonymous
DefaultRoot /usr/FTP users
# Users
# DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!
где ты нашел етот бред=))
ни в коем случае нельзя разрешать рутовый логин, если не хочешь, чтобы твой сервак отымели какие нить отмороженные малолетки=))
просто надо создать какого нить юзера из группы wheel(для себя, чтобы контент админить), и разрешить ему шариться по всему серваку, и естесственно пароль ему посложнее
а сделать ето можно так
DefaultRoot ~ - ето запрет всех юзеров в их хомяках
а для юзера, например пупкина, чтобы разрешить ему шариться по всему серванту, можно сделать так
DefaultRoot ~ !pupkin
Добавлено: 2007-05-03 20:53:12
Гость
Anonymous писал(а):OSBoy писал(а):
Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?
думаю, что всем
И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:
Код: Выделить всё
# Chroot for groups
# Root
DefaultRoot / wheel
# Anonymous
DefaultRoot /usr/FTP users
# Users
# DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!
где ты нашел етот бред=))
ни в коем случае нельзя разрешать рутовый логин, если не хочешь, чтобы твой сервак отымели какие нить отмороженные малолетки=))
просто надо создать какого нить юзера из группы wheel(для себя, чтобы контент админить), и разрешить ему шариться по всему серваку, и естесственно пароль ему посложнее
а сделать ето можно так
DefaultRoot ~ - ето запрёт всех юзеров в их хомяках
а для юзера, например пупкина, чтобы разрешить ему шариться по всему серванту, можно сделать так
DefaultRoot ~ !pupkin
Добавлено: 2007-05-03 20:55:01
RaDiST_1977
пардон, залогиниться забыл))
Anonymous писал(а):Anonymous писал(а):OSBoy писал(а):
Только можно уточнить ещё раз насчёт ограничения скорости - ВСЕМ - имеется ввиду КАЖДОМУ или ВСЕМ ВМЕСТЕ ВЗЫТЫМ?
думаю, что всем
И вот такой ещё вопрос возник: как дать руту (ну или любому юзеру из wheel) доступ ко ВСЕМ каталогам сервера?
вот по какому то мануалу делал:
Код: Выделить всё
# Chroot for groups
# Root
DefaultRoot / wheel
# Anonymous
DefaultRoot /usr/FTP users
# Users
# DefaultRoot /путь.до.папки specialusers
При этом анонимус нормально заходит, куда положено, а рут попадает в свой домашний каталог /root. Но при этом, если заменить DefaultRoot / wheel например на DefaultRoot /etc wheel, то попадает в /etc!
где ты нашел етот бред=))
ни в коем случае нельзя разрешать рутовый логин, если не хочешь, чтобы твой сервак отымели какие нить отмороженные малолетки=))
просто надо создать какого нить юзера из группы wheel(для себя, чтобы контент админить), и разрешить ему шариться по всему серваку, и естесственно пароль ему посложнее
а сделать ето можно так
DefaultRoot ~ - ето запрёт всех юзеров в их хомяках
а для юзера, например пупкина, чтобы разрешить ему шариться по всему серванту, можно сделать так
DefaultRoot ~ !pupkin
Добавлено: 2007-05-05 23:27:29
OSBoy
Вот значит такая секция есть:
Код: Выделить всё
<Anonymous /usr/FTP>
User ftp
Group ftp
UserAlias anonymous ftp
RequireValidShell off
AnonRequirePassword off
MaxClients 5 "Too many users, please try again later"
DisplayChdir .message
<Limit WRITE>
DenyAll
</Limit>
</Anonymous>
Чё конкретно сюда нужно вставить, штоб анонимусы могли создавать папки, кидать файлы и т.д. в каталог /usr/FTP/UPLOAD ?
Только если можно конкретный кусок конфига дайте, а то у меня после вечера ёбли с proftpd уже мозги пухнут! А там, дальше уж как нибудь разберусь...
А, да, ещё важный момент: допустим будет им доступ на запись в /UPLOAD, соотв. права на каталог выставлю, замечательно.... а как сделать, чтобы при всём при этом они (анонимусы) в этом самом каталоге /UPLOAD ещё и
не смогли ничего потереть???
Добавлено: 2007-05-06 10:25:51
RaDiST_1977
OSBoy писал(а):Вот значит такая секция есть:
Код: Выделить всё
<Anonymous /usr/FTP>
User ftp
Group ftp
UserAlias anonymous ftp
RequireValidShell off
AnonRequirePassword off
MaxClients 5 "Too many users, please try again later"
DisplayChdir .message
<Limit WRITE>
DenyAll
</Limit>
</Anonymous>
Чё конкретно сюда нужно вставить, штоб анонимусы могли создавать папки, кидать файлы и т.д. в каталог /usr/FTP/UPLOAD ?
Только если можно конкретный кусок конфига дайте, а то у меня после вечера ёбли с proftpd уже мозги пухнут! А там, дальше уж как нибудь разберусь...
А, да, ещё важный момент: допустим будет им доступ на запись в /UPLOAD, соотв. права на каталог выставлю, замечательно.... а как сделать, чтобы при всём при этом они (анонимусы) в этом самом каталоге /UPLOAD ещё и
не смогли ничего потереть???
вот кусок моего конфига
Код: Выделить всё
<Anonymous ~ftp>
User ftp
Group ftp
UserAlias anonymous ftp
AuthAliasOnly on
RequireValidShell off
MaxClients 4 "Sorry, the maximum number of alowed users (4) already connected. Please, try again later"
MaxClientsPerHost 1
<Limit WRITE>
DenyAll
</Limit>
<Directory /ftp/incoming>
<Limit STOR APPE MKD>
AllowAll
</Limit>
</Directory>
</Anonymous>
надеюсь понятно=)
только каталогу incoming (или upload) необходимо сменить владельца на ftp
chown -Rv ftp:ftp /var/ftp/incoming
после етого анонимусы смогут туда лить, сздавать там каталоги, но удалять ничего не смогут
Добавлено: 2007-05-06 10:45:23
OSBoy
Да, в принципе всё понятно, кроме MKD - что оно значит?
И ещё вот: Если у меня каталог /FTP и /FTP/UPLOAD принадлежат юзеру ftp-admin:ftp (от него proftp запускается), а анонимусы ходят от юзера ftp:ftp - такой вариант покатит?
Добавлено: 2007-05-06 10:48:35
RaDiST_1977
OSBoy писал(а):Да, в принципе всё понятно, кроме MKD - что оно значит?
И ещё вот: Если у меня каталог /FTP и /FTP/UPLOAD принадлежат юзеру ftp-admin:ftp (от него proftp запускается), а анонимусы ходят от юзера ftp:ftp - такой вариант покатит?
прокатит
MKD - создание каталогов