VSFTPD nao Lista o diretorio de fora

[wppitp]

Instalei o Servidor FTP(VSFTPD) no linux, dentro da minha rede funciona perfeito, mas qdo tem po acessar de fora da um erro:

error data socket ( mode passive no cliente ftp) qdo tiro o modo passivo.
500illegal comand ( sem mode passive no cliente ftp)..

tenho ADSL Brasil Telecon, meu modem ja esta com DMZ para o IP do Linux, que no caso e 10.1.1.254, e ja tenho a regra no firewall, eth0(interface externa)

iptables -A INPUT -i eth0-p tcp --dport 2121 -J ACCEPT, tenho ja tb a regra do StateFull no firewall...

alguem tem alguma ideia brilhante para resolver isso, ou ja passou por isso???

[Duca]

Bom, o modo passivo permite que o ftp use postas acima de 1024 e no modo não-passivo ou modo ativo ele usa as portas 20 e 21.

Tente liberar as portas 20 e 21 e teste o modo ativo e depois libere portas acima de 1024 e tente usar o modo passivo.

Apresente aqui os erros para podermos chegar a alguma solução.


Ab, Duca.

[wppitp]

consegui resolver o problema, vou postar, pois pode ser duvida de outros...

no meu caso nao tinha erro em nenhum lugar, apenas o cliente de FTP q eu estava usando, liguei para um colega, e contei o caso, ele me falou q ja tinha passado por isso, e no caso dele era o CUTFTP, e eu tb estava usando ele como cliente., troquei o cliente, coloquei o FTPCommand, e funcionou, sem eu fazer nd, so troquei o Cliente FTP...

vlw

[wppitp]

Citação:

Postado Originalmente por Duca

Bom, o modo passivo permite que o ftp use postas acima de 1024 e no modo não-passivo ou modo ativo ele usa as portas 20 e 21.

Tente liberar as portas 20 e 21 e teste o modo ativo e depois libere portas acima de 1024 e tente usar o modo passivo.

Apresente aqui os erros para podermos chegar a alguma solução.


Ab, Duca.

e, tb acho q se nao fosse ADSL Residencial nao precisaria usar o modo passivo, mas nao tem como eu usar ele na 21, pq a brasil telecom bloquea ela, a 20 e liberada, testei com o apache..

funcionou no modo passivo, e ativo nao, mas acho q pode ter alguma coisa haver com a ADSL, so que tive que trocar o cliente FTP, antes usava o CutFtp, nao ai, nem passivo e ativo, mas com o FTPCommander deu certo, no modo passivo..

vlw

mas vlw pela dica...

[wppitp]

So esqueci de comentar, para funcionar no modo passivo, tive que liberar as portas acima de 1024, achei q ficou um pouco inseguro, tive q colocar a seguinte regra

Regra para a porta do FTP
$IPTABLES -A INPUT -d $ETH0 -p tcp --dport 2121 -j ACCEPT

Regra para o FTp-Data
$IPTABLES -A INPUT -d $ETH0 -p tcp --dport 1024: -j ACCEPT

Essa ultima regra libera as portas da 1024 ate 65..., so q todas, tentei um outra regra q achei na NET mas nao deu certo..

$IPTABLES -A INPUT -d $ETH0 -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

essa seria pra liberar se estivesse ligada a 1° conexao do FTP, mas nao deu certo, ...

e modo ATIVO nem com reza braba, deve ser essa ADSL ... se alguem tiver uma luz ai, pra eu nao deixar tao libre assimm, vai ajudar..

vlw

[wppitp]

/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 20 -d 10.1.1.254 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

FTP Cliente em modo Passivo

essa e a regra q coloquei, para nao liberar muito, e funcionou, posso listar as pastas agora...

[Duca]

ops: Eu não sou um grande conhecedor de iptables, mas uma coisa me intrigou, na sua regra você colocou isso:

1024:65535

se vc está liberando da porta 1204 a 65535, como você pode afirmar: "para nao liberar muito" ? :|

[wppitp]

Citação:

Postado Originalmente por Duca

ops: Eu não sou um grande conhecedor de iptables, mas uma coisa me intrigou, na sua regra você colocou isso:

1024:65535

se vc está liberando da porta 1204 a 65535, como você pode afirmar: "para nao liberar muito" ? :|

/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 20 -d 10.1.1.254 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

pq tipo, to liberando da 1024 ate 65535, mas so se vier originada pela porta 20 e ela tem q estar ligada com a conexao da porta 21 já, o q quer dizer q e a porta ftp-data, q e usada para trafegar dados, e se esta vindo pela porta 20 e pq tive a confirmação de conexao que um cliente q ja acessou a porta 21 do teu ftp, e digitou senha e login, o q quer dizer q ele pode usar o serviço, por isso tem a parte -m state --state ESTABLISHED, o q quer dizer q e uma conexao estabelecida (ESTABLISHED)isso quer dizer q uma TCP ja fechou a conexão, ninguem vai poder conectar direto na porta 20, pq o ack nao vai estar marcado como Estabelecido(ESTABLISHED).

deu pra entender ou complicou... vou te mostrar um testo de como funciona o protoloco FTP

Primeiro o cliente envia um pedido de conexão através de uma porta alta (>1024) com destino a porta 21 do servidor de FTP. O servidor de FTP então responde este pedido utilizando a sua porta 21 na porta alta do cliente. Até então o funcionamento é comum a outras conexões TCP conhecidas.

Porém o FTP precisa de uma conexão de dados que pode ser estabelecida de duas formas: Utilizando FTP ATIVO ou PASSIVO.

No FTP ATIVO o cliente informa ao servidor uma porta alta através do comando PORT. O servidor então abre uma conexão utilizando a porta 20 nesta porta alta informada pelo cliente. NO FTP PASSIVO o servidor que informa ao cliente uma porta alta através do comando PORT. O cliente por sua vez abre uma conexão de uma porta alta nesta porta informada pelo servidor.

Enquanto no FTP ATIVO o servidor abre uma nova conexão de dados no cliente, no PASSIVO as conexões são abertas sempre pelo cliente, dessa forma agregando um pouco de segurança, porém temos pouco controle sobre quais portas serão utilizadas na hora de implementar as regras de firewall

[Duca]

Uau, Show de aula !!! :-o

Valeu !!! :-D

[wppitp]

precisando posta ae, vlw