Страница 1 из 1
не могу зайти в FTP
Добавлено: 2006-06-14 13:26:07
fitter
Ситуация. Настроил FTP на proftpd
Проблема вот в чем. Локально через фар зайти на фтп можно, при указании IP внутренней сети, если же поставить внешний IP, то начинает конектиться, потом доходит до "запрос имени папки" думает, думает и обрывает. Если использовать IE, то конектиться в обоих случаях.
Люди извне к нему коннектяться, но скорость обмена файлами очень маленькая 9к при канале 512 к
Кто что посоветует?
Добавлено: 2006-06-14 14:56:11
Alex Keda
http://www.lissyara.su/?id=1144 писал(а):# если вылезет проблема, типа тормозов при подключении
# (в момент установления коннекта `задумывается` на 10-20 секунд)
# то раскомментируйте следующие две строки
#UseReverseDNS off
#IdentLookups off
стоит?
Добавлено: 2006-06-14 21:24:46
fitter
Стоит, но проблему не решает. Подключение, проверку логина и пароля проходит быстро, а потом задумывается над "запрос имени папки" и отваливается. При этом в логах по этому поводу ничего нет.
Добавлено: 2006-06-14 21:40:37
Alex Keda
пассивное-активное?
првила файрволла для фтп давай.
и для внешнего интерфейса, и для внутреннего.
вывод
Код: Выделить всё
sysctl net.inet.ip.portrange.first
sysctl net.inet.ip.portrange.last
тоже дай...
Добавлено: 2006-06-14 21:58:58
zorg
Закрой фаером 113 порт, думаю поможет. его можно дать почти в самом начале, вид типа:
Добавлено: 2006-06-14 22:04:35
Alex Keda
не факт что ident виноват...
Добавлено: 2006-06-14 22:06:43
zorg
lissyara писал(а):не факт что ident виноват...
У меня в двух случаях был виноват именно он. отрубаю нормально, возвращаешь, тормоза. Другое дело скорость скачивания, -да здесь не помню, было ли такое, а вот тормоза при входе, в этом точно помогало.
Добавлено: 2006-06-14 22:07:30
Alex Keda
2 zorg
аватара у тебя прикольная.
Добавлено: 2006-06-14 22:16:03
zorg
Да писали свой фирменный форум, нарыл мне программист мой, вот чего то понравился, с тех пор (с зимы) и использую!
Добавлено: 2006-06-14 22:20:38
Alex Keda
я свой никак не допишу. времени нет
и желания особого - работа большая очень.... а нужды не вижу... пока...
Добавлено: 2006-06-14 22:27:58
zorg
А у нас закрылся проект, вбухали 1500 у.е. но счас думаем внедрять документооборот на Лотусе, потому сам форум, который планировался как единая информационная система прикрылся. Правда его директор (который его и заказывал) под себя сделал, но уж некоторые вещи мне очень не понравились. Если есть желание посмотреть, зарегся, я тебе открою доступ, но уже скорее всего тока завтра. forum.defo.ru
ТОка учти что вход тока по https
Добавлено: 2006-06-15 10:23:37
fitter
Не понял, что активное , пассивное?
Выводы даю.
Код: Выделить всё
/usr/home/vovka/>sysctl net.inet.ip.portrange.first
net.inet.ip.portrange.first: 49152
Код: Выделить всё
/usr/home/vovka/>sysctl net.inet.ip.portrange.last
net.inet.ip.portrange.last: 65535
Правила файервола для ftp для внешнего интерфейса:
Код: Выделить всё
03000 allow tcp from any to 195.234.215.122 dst-port 21 via rl0
Для внутреннего разрешен весь tcp трафик:
Закрыл 113 порт
Не помогло
Все тоже, быстрая проверка логина пароля, долгий запрос имени папки (вверху при этом пишеться "Жду данные" и идет время с процентами. Доходят проценты до 99 и все, пишет "соединенгие утеряно"
Добавлено: 2006-06-15 10:27:36
Alex Keda
http://www.lissyara.su/?id=1127 писал(а):# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
Добавлено: 2006-06-15 10:28:20
Abigor
а что для пассивного соединения, открытыли порты с 49152-65535
короче, добавь правило для пробы в начало конфига фаервола
/sbin/ipfw add allow all from any to any 49152-65535 in via $ext_out keep-state
Добавлено: 2006-06-15 10:28:46
Abigor
прикольно, разошлись в минуту
Добавлено: 2006-06-15 10:29:15
Alex Keda
бывает
))
Добавлено: 2006-06-15 11:40:05
fitter
Все прописал
allow all from any to any 49152-65535 in via $ext_out keep-state
Результата нет.
У меня вот какая мысля возникла.
При заходе из инета люди стали нормально конектиться, но я не могу подключиться к своему фтп, если шлюзом у меня сервер 1, а фтп поднято на сервере 2 и при этом в подключении в фаре ставлю внешний IP адрес сервера 2. Если также подключаться, но через шлюз сервера 2, то все ок.
Пробовал и по другому, то есть подключался через шлюз 2 к фтп на сервере 1, также указывая внешний IP сервера 1. Таже фигня вылазит, указанная выше.
Внутренние интерфейсы обоих серверов включены в один свич. Может здесь собака накакала?
Добавлено: 2006-06-15 12:58:48
Alex Keda
fitter писал(а):Все прописал
allow all from any to any 49152-65535 in via $ext_out keep-state
Результата нет.
У меня вот какая мысля возникла.
При заходе из инета люди стали нормально конектиться, но я не могу подключиться к своему фтп, если шлюзом у меня сервер 1, а фтп поднято на сервере 2 и при этом в подключении в фаре ставлю внешний IP адрес сервера 2. Если также подключаться, но через шлюз сервера 2, то все ок.
Пробовал и по другому, то есть подключался через шлюз 2 к фтп на сервере 1, также указывая внешний IP сервера 1. Таже фигня вылазит, указанная выше.
Внутренние интерфейсы обоих серверов включены в один свич. Может здесь собака накакала?
нихрена не понял
чё куда откуда...
картинку бы? с IP-шниками..
Добавлено: 2006-06-15 21:23:17
zorg
Да уж, со слов чего-то мудрёно получается!! Чертёж в студию!