[加急]一个ftp传输模式问题!(高手请进)希望得到版主帮助

A_discoverer · 发表于 2004-11-2 17:53:30

环境:
RedHat Linux As 3
Wu-ftp 2.6.1
iptables 开了ftp,httpd,ssh,三个服务端口

问题描述
主动模式可以正常使用,但用不了被动模式提示
(我用flashFXP2.0)
WinSock 2.0
正在连接到 xxx.xxx.xxx.xxx
已连接到 xxx.xxx.xxx.xxx 端口 21
220 localhost.localdomain FTP server ready.
USER abc
331 Password required for ftpadmin.
PASS (hidden)
230 User ftpadmin logged in.
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
PWD
257 "/xx" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,245,15

数据 Socket 错误: 连接已超时

想实现的要求:
想进行被动模式的传输.

本人尝试过在ftpaccess中添加
passive ports--passive的ports范围
是不是还要在放火墙中配置什么东西呢?

还是有什么还需要配置,我看过www.wu-ftpd.org上的FAQ也没找到有用的信息
在网上也搜索了很多资料,基本上没有提到这方面的东西!
谢谢!!
p.s.本贴我们暂时不讨论wu-ftp的安全性问题.

A_discoverer · 发表于 2004-11-2 20:05:36

自己先顶一下，
忘了说明了，我连接其他ftp地址在passive mode 是正常的，
刚才我用linux下的gFTP也试了，结果一样。在passive 模式下
没办法进去，所以我断定应该是服务器端的原因，
真急，我对比了其他可以用passive mode登陆的服务器的ftpaccess配置，
基本一样，配置中除了对用户进行了设置外也没有其他多余的设置(基本保持默认)

谢谢！！希望知道原因的人能尽量发表你的看法。。。

路过的各位仁兄也帮忙顶一下，不要让这么好的一个学习帖子沉下去了！

dannycat · 发表于 2004-11-2 20:42:18

建议先去学学 PASV 模式的原理。

防火墙要开你 passive ports 范围的进入连接。

A_discoverer · 发表于 2004-11-2 21:11:08

ok，现在是不是可以明确的说：
1。防火墙一定要开passive ports 范围。本人使用的iptables的，在这里应该可以加入相应的
语句！是吗
2。也是我最想知道的，在Wu-ftp中需要怎么配置呢？
是在ftpaccess中配置吗？可是我看了Wu-ftp的手册好象都没有提到这点，
谁有全点的手册吗？谢谢！！！

dannycat · 发表于 2004-11-2 21:56:33

假设要使用端口 3701-3740：
1. 在你的 DENY 之前加上[code:1]iptables -A INPUT -p tcp --dport 3701:3740 -j ACCEPT[/code:1]
2. /etc/ftpaccess：[code:1]passive ports 0.0.0.0/0 3701 3740[/code:1]

A_discoverer · 发表于 2004-11-2 23:13:42

谢谢版主，
和我想的一样
我在试似乎还存在点问题，
再看看，

A_discoverer · 发表于 2004-11-3 22:04:24

老大我试了可是还是不行啊
我在 iptables -L INPUT 中已经看到
[root@localhost root]# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target    prot opt source             destination
RH-Firewall-1-INPUT  all  --  anywhere          anywhere
ACCEPT    tcp  --  anywhere          anywhere          tcp dpts:3701:3740

在ftpaccess中也添加了。

可是我参考了其他几台服务器在ftpaccess中也没有添加，在iptables中也没有添加，什么却可以进行passive 模式访问。
郁闷了，请版主，帮忙啊

gugong · 发表于 2004-11-3 22:11:08

[code:1]# ftp
[0:0] -A INPUT  -i eth1 -p tcp -m tcp --syn --dport 20 -j ACCEPT
[0:0] -A INPUT  -i eth1 -p tcp -m tcp --syn --dport 21 -j ACCEPT
# 允许对外提供 Passive （被动式）连接。需要 modprobe 这两个模块： ip_conntrack_ftp ipt_state
[0:0] -A INPUT  -m state --state RELATED,ESTABLISHED -j ACCEPT
# 允许本机连接外网的 ftp 服务器，并以 PORT 模式进行 ftp data 的传送：
[0:0] -A INPUT  -i eth1 -p tcp -m tcp --syn --sport 20 -j ACCEPT
[/code:1]

gugong · 发表于 2004-11-3 22:29:21

[code:1]2004年11月03日星期三下午22时19分17秒[root@mail root]# ftp www.ehuilong.com
Connected to www.ehuilong.com (202.60.229.155).
220 FTP Server ready.
Name (www.ehuilong.com:root): ftp
331 Anonymous login ok, send your complete email address as your password.
Password:
230-
            *** Welcome to this anonymous ftp server! ***

   You are user 1 out of a maximum of 10 authorized anonymous logins.
   The current time here is Wed Nov  3 22:19:47 2004.
   If you experience any problems here, contact : root@localhost

230 Anonymous login ok, restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (202,60,229,155,148,205).
150 Opening ASCII mode data connection for file list
drwxr-xr-x 4 ftpadm ftpadm    4096 Feb  1  2004 .
drwxr-xr-x 4 ftpadm ftpadm    4096 Feb  1  2004 ..
drwxr-xr-x 3 ftpadm ftpadm    4096 Jul 16 12:49 pub
d-wx-wx--x 2 ftpadm ftpadm    4096 Oct 25 18:55 uploads
-rw-r--r-- 1 ftpadm ftpadm       224 Dec 31  2003 welcome.msg
226 Transfer complete.
ftp> pass
Passive mode off.
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxr-xr-x 4 ftpadm ftpadm    4096 Feb  1  2004 .
drwxr-xr-x 4 ftpadm ftpadm    4096 Feb  1  2004 ..
drwxr-xr-x 3 ftpadm ftpadm    4096 Jul 16 12:49 pub
d-wx-wx--x 2 ftpadm ftpadm    4096 Oct 25 18:55 uploads
-rw-r--r-- 1 ftpadm ftpadm       224 Dec 31  2003 welcome.msg
226 Transfer complete.
ftp> pass
Passive mode on.
ftp> ls
227 Entering Passive Mode (202,60,229,155,148,206).
150 Opening ASCII mode data connection for file list
drwxr-xr-x 4 ftpadm ftpadm    4096 Feb  1  2004 .
drwxr-xr-x 4 ftpadm ftpadm    4096 Feb  1  2004 ..
drwxr-xr-x 3 ftpadm ftpadm    4096 Jul 16 12:49 pub
d-wx-wx--x 2 ftpadm ftpadm    4096 Oct 25 18:55 uploads
-rw-r--r-- 1 ftpadm ftpadm       224 Dec 31  2003 welcome.msg
226 Transfer complete.
ftp>
[/code:1]

前提是：我从来不对进来的来源端口进行限制，只是限制到本服务器的哪些目的地端口。

A_discoverer · 发表于 2004-11-4 00:37:17

我按老大的帮助，做了设置iptables 中显示如下，但还未成功，

Generated by iptables-save v1.2.8 on Thu Nov  4 00:14:59 2004
*filter
:INPUT ACCEPT [0]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [13570]
:RH-Firewall-1-INPUT - [0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -p tcp -m tcp --dport 3701:3740 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type 255 -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Nov  4 00:14:59 2004

以下是我ftpaccess 的配置
class all real,guest,anonymous  *

limit all    1000 Any    /etc/msgs/msg.dead

email root@localhost

loginfails 5

readme  README* login
readme  README* cwd=*

message /welcome.msg          login
message .message             cwd=*

compress       yes          all
tar          yes          all
chmod          no             guest,anonymous
delete       no             guest,anonymous
overwrite    no             guest,anonymous
rename       no             guest,anonymous
#Passive mode config
#pasv-allow all xxx.xxx.xxx.xxx
#port-allow all xxx.xxx.xxx.xxx
#passive address xxx.xxx.xxx.xxx    0.0.0.0/0
#(以上3行我不知道应不应该配置--我是从Landfield上看来的)，其中xxx.xxx.xxx.xxx是我网卡的地址，机器放在长宽机房#有独立ip)
passive ports 0.0.0.0/0 3701 3740

log transfers anonymous,real inbound,outbound

shutdown /etc/shutmsg

passwd-check rfc822 warn

greeting brief

现在问题是如果我用ssh连上后，在本地用无论用fpt 127.0.0.1,还是ftp xxx.xxx.xxx.xxx都能在passive mode 工作，所以我觉得是不是应该把问题琐定在iptables的配置上呢，
另外ip_conntrack_ftp， ipt_state 这两过模块是不是只要modprobe ip_conntrack_ftp 和 modprobe ipt_state 命令执行后没任何提示就算已经装载了是吗？每次重启后是否还要重新载入。
谢谢，古公也来了，哈哈。。。

gugong · 发表于 2004-11-4 16:11:36

[code:1]2004年11月04日星期四下午16时04分09秒[root@mail root]# cat /etc/sysconfig/iptables-config
# Additional iptables modules (nat helper)
# Default: -empty-
#IPTABLES_MODULES="ip_nat_ftp"
#IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp ipt_state"
IPTABLES_MODULES="ip_conntrack_ftp ipt_state"

# Save current firewall rules on stop.
# Value: yes|no,  default: no
#IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
# Value: yes|no,  default: no
#IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule counter.
# Value: yes|no,  default: no
#IPTABLES_SAVE_COUNTER="no"

# Numeric status output
# Value: yes|no,  default: no
#IPTABLES_STATUS_NUMERIC="no"
2004年11月04日星期四下午16时04分18秒[root@mail root]#[/code:1]

A_discoverer · 发表于 2004-11-4 20:23:03

基本上搞定了，最近忙晕，很多东西我都不是很清楚，现在要管理50来台linux和freeBSD服务器。哈哈，---提高自我。

有空我写篇总结，以膳后来者
现在我自己家里都不用windows了，

致谢！
dannycat
gugong
和linuxfans！

gugong · 发表于 2004-11-4 22:29:01

我可是只管理一到两台的 Linux PC 服务器，惭愧、惭愧。

A_discoverer · 发表于 2004-11-5 12:10:22

古公大名如雷贯耳,
服务器不在你管多少,而在于你能否真正管好,哪怕是一台,
所以,以后小弟还要向古公多多学习~望不啬赐教~

flyman90 · 发表于 2004-11-6 10:08:50

这里的斑竹好热心
赞！~一个先，以后要多想你们请教了

		自动登录	找回密码
密码			注册