Forum Debian Users Gang

oli · 2015-01-31 13:36:56

Mam problem z proftpd. Z sieci lokalnej wszystko jest Ok. Loguje się jako użytkownik systemowy i mam dostęp do katalogu /mnt/ftp
Natomiast jeśli to robię zdalnie to np. przez przeglądarkę wyskakuje okno logowania ale po wpisaniu nie wyświetla żadnego katalogu tak jakby blokowało dostęp.

Kod:

# Dołączamy konfigi ewentualnie aktywowanych modułów.
Include /etc/proftpd/modules.conf

# Tryb pracy serwera, uruchamiamy jako samodzielny proces.
ServerType standalone
# Określamy konfigurację jako domyślną
DefaultServer on

# Jesli nie używamy IPv6.
UseIPv6 off

# Te 3 opcje znacznie skracają czas logowania.
UseReverseDNS off
IdentLookups off
ServerIdent off

# Określamy nazwę naszego serwera, nie podajemy jego nazwy ani wersji.
ServerName "ftp by witux"

# Komunikat powitalny.
DisplayLogin welcome.msg

# Zezwalamy na komunikat powitalny dopiero po zalogowaniu.
DeferWelcome on

MultilineRFC2228 on

# Zezwalamy na wyświetlanie dowiązań.
ShowSymlinks on
# Czas w jakim zostanie przerwane połączenie z serwerem.
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200

DisplayChdir .message true

DenyFilter \*.*/

# Blokoda logowania użytkownikowi root.
RootLogin off

# Uwięzienie użykowanika w wyznaczonym katalogu, z którego nie będzie mógł się wydostać.
# znak ~ katalog domowy w systmie Linux.
DefaultRoot /mnt/ftp/
# Opcje do listowania plików w trybie binarnym:
# "-a"="ls -a" , "+a"=blokada parametru a czyli plików ukrytych(z kropką).
ListOptions "+a"

# Sprawdzamy czy dany użytkownik, który się loguje
# posiada przypisaną w /etc/shells powłokę (szybka metoda do zablokowania).
RequireValidShell on

# Port na którym nasłchuje proftpd.
Port 21

# Konfiguracja portów trybu pasywnego używanego przez przeglądarki (ftp://host.pl).
# PassivePorts 49152 65534

# Użyteczna opcja jeśli nasz komputer stoi za NAT-em.
# MasqueradeAddress 1.2.3.4

# This is useful for masquerading address with dynamic IPs:
# refresh any configured MasqueradeAddress directives every 8 hours

# DynMasqRefresh 28800

# Maksymalna liczba procesów demona FTP.
# Dzięki tej dyrektywie możemy ustrzec się przed atakami typu DoS.
MaxInstances 30

# Użytkownik i grupa do których bedzie należał proces serwera.
User proftpd
Group nogroup

# Ustawienie prawa dostępu wlasciciela do modyfikacji pliku i katalogów.
# 022 => 755 , 077 => 700 , 002 => 775
Umask 022 022
# Pozwolenie na nadpisywanie plików.
AllowOverwrite on

# Konfiguracja logów.
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log

Jacekalex · 2015-01-31 16:02:54

Takie rzeczy, to się w logach sprawdza.

Pewnie gdzieś po drodze jest kłopot z portami pasywnymi, ftp w trybie pasywnym potrzebuje całej masy portów do pracy, nie tylko 20-21.

W Linuxie sprawę załatwia moduł

Kod:

CONFIG_NF_CONNTRACK_FTP=y

i ewentualnie przy NAT:

Kod:

CONFIG_NF_CONNTRACK_FTP=y

Tu masz conieco na ten temat:
http://blogs.reliablepenguin.com/2012/03/08/passive … with-iptables

Jak to wygląda w chińskich routerkach, diabli wiedzą.

Lepiej wyjdziesz na bliższej przyjaźni z SSH, ftp to ciężka patologia z dawnych czasów.

Ostatnio edytowany przez Jacekalex (2015-01-31 16:03:41)

oli · 2015-01-31 17:54:34

Router na którym mam zrobione przekierowanie to MikroTik. A co do SSH to co miałeś na myśli?
Co do logów to wyglądają tak:

Kod:

sty 31 18:05:15 serwer proftpd[4144] 127.0.1.1 (78.30.119.130[78.30.119.130]): FTP session opened.
sty 31 18:05:16 serwer proftpd[4144] 127.0.1.1 (78.30.119.130[78.30.119.130]): USER anonymous: no such user found from 78.30.78.30.119.130 [78.30.119.130] to 192.168.10.111:21
sty 31 18:05:16 serwer proftpd[4144] 127.0.1.1 (78.30.119.130[78.30.119.130]): FTP session closed.
sty 31 18:05:17 serwer proftpd[4145] 127.0.1.1 (78.30.119.130[78.30.119.130]): FTP session opened.
sty 31 18:05:19 serwer proftpd[4145] 127.0.1.1 (78.30.119.130[78.30.119.130]): Preparing to chroot to directory '/mnt/ftp'
sty 31 18:05:19 serwer proftpd[4145] 127.0.1.1 (78.30.119.130[78.30.119.130]): USER oli: Login successful.

Ostatnio edytowany przez oli (2015-01-31 18:12:30)

morfik · 2015-01-31 18:17:26

Loguje się jako użytkownik systemowy i mam dostęp do katalogu /mnt/ftp
Natomiast jeśli to robię zdalnie to np. przez przeglądarkę wyskakuje okno logowania ale po wpisaniu nie wyświetla żadnego katalogu tak jakby blokowało dostęp.

Zainstaluj sobie filezillę, to ma dokładny log połączenia. Będziesz wiedział co się odbywa i do jakiego katalogu trafiasz po zalogowaniu się + wszelkie błędy. Przeglądarki się nie nadają do debugowania ftpa. xD

Tu masz przykład, tyle, że dla vsftpd:

oli · 2015-02-01 16:36:36

Kod:

Status:    Łączenie z 81.xx.xx.xx:21...
Status:    Połączenie nawiązanie, oczekiwanie na wiadomość powitalną...
Odpowiedź    220 192.168.10.111 FTP server ready
Polecenie:    USER oli
Odpowiedź    331 Password required for oli
Polecenie:    PASS *********
Odpowiedź    230 User oli logged in
Polecenie:    SYST
Odpowiedź    215 UNIX Type: L8
Polecenie:    FEAT
Odpowiedź    211-Features:
Odpowiedź     MDTM
Odpowiedź     MFMT
Odpowiedź     TVFS
Odpowiedź     UTF8
Odpowiedź     MFF modify;UNIX.group;UNIX.mode;
Odpowiedź     MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
Odpowiedź     SITE MKDIR
Odpowiedź     SITE RMDIR
Odpowiedź     SITE UTIME
Odpowiedź     SITE SYMLINK
Odpowiedź     REST STREAM
Odpowiedź     LANG pl-PL.UTF-8*
Odpowiedź     SITE COPY
Odpowiedź     SIZE
Odpowiedź    211 End
Polecenie:    OPTS UTF8 ON
Odpowiedź    200 UTF8 set to on
Status:    Połączono
Status:    Uzyskiwanie listy katalogów...
Polecenie:    PWD
Odpowiedź    257 "/" is the current directory
Polecenie:    TYPE I
Odpowiedź    200 Type set to I
Polecenie:    PASV
Błąd:    Przekroczony czas oczekiwania na połączenie
Błąd:    Nie udało się otrzymać listy katalogów

Jacekalex · 2015-02-01 16:40:13

oli napisał(-a):
A co do SSH to co miałeś na myśli?

Jaja sobie robisz?

http://pl.wikipedia.org/wiki/Secure_Shell
http://pl.wikipedia.org/wiki/OpenSSH
https://wiki.debian.org/SSH
https://www.gentoo.org/doc/pl/articles/openssh-key-management-p1.xml

OpenSSH do komunikacji potrzebuje tylko jednego portu komunikacyjnego, dużo łatwiej go ogarnąć na routerze.

SOA#1

Ostatnio edytowany przez Jacekalex (2015-02-01 16:42:10)

oli · 2015-02-01 16:59:51

Wiem co to jest SSH i używam tego ale nie do pobierania plików.

Jacekalex · 2015-02-01 17:15:17

oli napisał(-a):
Wiem co to jest SSH i używam tego ale nie do pobierania plików.

https://packages.debian.org/search?keywords=sshfs
http://winscp.net/eng/docs/lang:pl#mozliwosci_programu

SOA#1

morfik · 2015-02-01 18:49:02

Ja obstawiam problem z FW. Dodaj sobie dość luźną regułkę do FW by przepuścił cały ruch z twojego IP i zobacz czy dasz radę się podłączyć, jak tak to skonfiguruj poprawnie FW.

oli · 2015-02-03 17:30:45

morfik tez tak myślałem. Wyłączyłem cały FW na MikroTiku i bez zmian. Czyli nie problem z FW.

Jacekalex · 2015-02-03 17:33:00

Pewnie problem z translacją adresów NAT w Mikrotiku.

Wystawianie serwera FTP za NATem, to tak, jakby się prawą piętą za lewym uchem podrapać.

oli · 2015-02-03 22:34:59

No tak tylko wcześniej miałem w testach zyxela i on bazował na proftpd i nie było problemu się wbić.

oli · 2015-02-14 14:19:27

Zastawiam się czy nie zmienić mojej struktury sieci. W chwili obecnej wygląda to tak:
urządzenie nr1 = Router MT
ether1 na nim klient pppoe jako WAN
ether2,3,4,5,6,7,8,9,10,wlan1 - dla jednej sieci LAN (dhcp-server)
Urządzenie nr2 = Serwerz uslugami: www, ftp, minidlna, ssh,smb - jest w sieci tylko problemy z niektórymi usługami jak opisałem wyżej.
Może z serwera zrobiłbym główny router z ip publ. (eth0) wtedy by te usługi zadziałały, a mikrotik jako AP i wszystko tam w bridge spięte z serwerem(routerem) z eth1 ?

Jak byście to rozwiązali? klienci muszą być niestety po dhcp.

Ostatnio edytowany przez oli (2015-02-14 14:20:59)

Forum Debian Users Gang

Ogłoszenie

#1 2015-01-31 13:36:56

oli - Zbanowany

proftpd - zdalne połączenie, nie można wyświetlić katalogu.

Kod:

#2 2015-01-31 16:02:54

Jacekalex - Podobno człowiek...;)

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

Kod:

Kod:

#3 2015-01-31 17:54:34

oli - Zbanowany

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

Kod:

#4 2015-01-31 18:17:26

morfik - Cenzor wirtualnego świata

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

#5 2015-02-01 16:36:36

oli - Zbanowany

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

Kod:

#6 2015-02-01 16:40:13

Jacekalex - Podobno człowiek...;)

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

oli napisał(-a):

#7 2015-02-01 16:59:51

oli - Zbanowany

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

#8 2015-02-01 17:15:17

Jacekalex - Podobno człowiek...;)

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

oli napisał(-a):

#9 2015-02-01 18:49:02

morfik - Cenzor wirtualnego świata

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

#10 2015-02-03 17:30:45

oli - Zbanowany

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

#11 2015-02-03 17:33:00

Jacekalex - Podobno człowiek...;)

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

#12 2015-02-03 22:34:59

oli - Zbanowany

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

#13 2015-02-14 14:19:27

oli - Zbanowany

Re: proftpd - zdalne połączenie, nie można wyświetlić katalogu.

Stopka forum