vsftpd 的Data Socket Error问题

Jefftyh · 发表于 2004-11-4 16:51:00

时不时会出现Data Socket Error的问题
装的是vsftpd1.2.2
vsftpd.conf设置了tcp_wrapper=NO也是一样会出现这样的问题！
是防火墙的问题？是的话具体要怎么设置？
请问这是怎么回事？要怎么解决，谢谢~

Jefftyh · 发表于 2004-11-4 16:53:32

服务器自己可以上的，不会出现类似问题
可是客户机就常会这样，弄好几天了，还是没好，哪位帮解决以下，谢谢

dannycat · 发表于 2004-11-4 21:37:13

你的防火墙怎么设置的？

Jefftyh · 发表于 2004-11-5 00:50:02

不知道，我刚用linux,很多地方不知道，请多多指点。
我是默认安装的，要怎样察看防火墙设置？谢谢

Jefftyh · 发表于 2004-11-5 12:14:27

我后来又装了proftpd，用21端口启动vsftpd，再用别的端口启动proftpd，在vsftpd能正常登陆的时候proftpd也可以正常登陆，但登陆vsftpd出现data socket error不能登陆时，proftpd的那个端口也不能登陆。是不是这样证明不是服务器ftp软件问题。要怎么解决，请大家帮想想，弄了这么久没弄好，急啊，谢谢！

dannycat · 发表于 2004-11-5 12:19:18

给出你的 /etc/sysconfig/iptables 的内容
或者 iptables -nL 的输出信息。

Jefftyh · 发表于 2004-11-5 12:28:22

target    prot opt source             destination
ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0       tcp dpt:80 flags:0x16/0x02
ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0       tcp dpt:21 flags:0x16/0x02
ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0       tcp dpt:22 flags:0x16/0x02
ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0
ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0
ACCEPT    udp  --  10.10.0.21          0.0.0.0/0       udp spt:53
REJECT    tcp  --  0.0.0.0/0          0.0.0.0/0       tcp flags:0x16/0x02 reject-with icmp-port-unreachable
REJECT    udp  --  0.0.0.0/0          0.0.0.0/0       udp reject-with icmp-port-unreachable

dannycat · 发表于 2004-11-5 13:25:01

这个问题一般都是因为服务器端的防火墙和客户端的防火墙端口冲突引起的；

快捷解决办法：设置客户端不使用 PASV 模式，或者关掉客户端防火墙。

dannycat · 发表于 2004-11-5 22:28:49

to Jefftyh：
/etc/sysconfig/iptables
[code:1]
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

*filter
# 进入数据包的默认策略设为 DROP (丢弃，我们没有必要 REJECT)
:INPUT DROP [0:0]
# 转发数据包的默认策略设为 DROP (难道你的机器要作为网关？)
:FORWARD DROP [0:0]
# 外发数据包的默认策略设为 ACCEPT (接受，除非你不信任自己的机器/内网)
:OUTPUT ACCEPT [0:0]
# 定义新规则链 eth0_in，集中处理进入网卡 eth0 的数据包
:eth0_in - [0:0]
# 定义新规则链 eth1_in
:eth1_in - [0:0]

# 允许本地环回接口的所有通讯
-A INPUT -i lo -j ACCEPT

# 允许已建立的连接数据包
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 丢弃非法状态的非 ICMP 数据包
-A INPUT -p ! icmp -m state --state INVALID -j DROP

# 对进入网卡 eth0 的数据包转到规则链 eth0_in 处理
-A INPUT -i eth0 -j eth0_in

# 对进入网卡 eth1 的数据包转到规则链 eth1_in 处理
-A INPUT -i eth1 -j eth1_in

# 丢弃其他进入数据包
-A INPUT -j DROP

# 允许本机向外查询其他 DNS 服务器
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

# 不允许本机向外发送 UDP 数据包 (如果有必要的话)
-A OUTPUT -p udp -j REJECT

# 允许到网卡 eth0 的 80/21/22 端口的 TCP 连接
-A eth0_in -p tcp -m tcp --dport 80 -j ACCEPT
-A eth0_in -p tcp -m tcp --dport 21:22 -j ACCEPT

# 允许到本机 FTP 服务器预设 PASV 端口(假设为14200-14600)的 TCP 连接
# 要在 FTP 服务器里设好 passive ports，否则 PASV 模式会不正常
-A eth0_in -p tcp -m tcp --dport 14200:14600 -j ACCEPT

# 丢弃其他所有数据包
-A eth0_in -j DROP

# 对进入网卡 eth1 的数据包的处理，与 eth0 类似
-A eth1_in -p tcp -m tcp --dport 80 -j ACCEPT
-A eth1_in -p tcp -m tcp --dport 21:22 -j ACCEPT
-A eth1_in -p tcp -m tcp --dport 14200:14600 -j ACCEPT
-A eth1_in -j DROP

# 提交生效
COMMIT
[/code:1]

Jefftyh · 发表于 2004-11-6 00:04:59

非常感谢斑竹

service iptables restart后出现这样：
应用iptables防火墙规则：Bad argument 'COMMIT'
Try 'iptables-restore -h' or 'iptables-restore --help' for more information. [失败]

是不是防火墙没有启动，该怎么办？

694745 · 发表于 2004-11-6 00:05:44

高手啊

Jefftyh · 发表于 2004-11-6 01:24:14

原来是"COMMIT"复制过去变成了"COMMIT ",多了个空格

我在本机测试时-A INPUT -p ! icmp -m state --state INVALID -j DROP 这句不能用，我把它注释掉久可以，请问该怎么改。我在传到服务器上时注释了好几个，然后就什么也都连不上了包括ssh,ftp,http。。。可能所有端口被屏蔽了吧，很郁闷，服务器每天凌晨4：00自动重启，如果还是不行的话就得等到星期一去机房了。5555~~

谢谢斑竹的帮忙！

dannycat · 发表于 2004-11-6 11:42:12

要是经常有错的话，还是先把

:INPUT DROP [0]

改成 :INPUT ACCEPT [0] 吧，否则一出错就禁止所有包进入了

那句不能用就不用吧，不是很重要。

Jefftyh · 发表于 2004-11-6 18:20:46

好的,非常谢谢^_^

		自动登录	找回密码
密码			注册