Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

Форумы RDA _ Общие вопросы _ ФТП сервер перестал пускать с PORT MODE

Автор: Gesha Вторник, 29 Апреля 2003, 20:30

Имею FTP сервер (Serv-U) и Norton Personal FireWall. В настройках FW разрешил ServUDaemon принимать/отвечать на все connectinos по обоим протоколам (TCP/UDP).
Пока сервак сидел на 21 порту все работало пучком.
После того как я пересадил сервер на нестандартный порт, он снаружи принимает только PASV. Error: "200 type set to I. 530 Only client IP address allowed for PORT command".

Вопросы:
1. Дело в настройке сервера или это FW (я лично думаю что второе, но не знаю как сконфигурировать) ?
2. Как это собственно лечить ?

Просьба отвечать по существу (варинаты ответов: замени ruki.dll / brain.dll просьба держать для флейма).

Заранее спасибо за конструктивные ответы

Автор: Zolo Вторник, 29 Апреля 2003, 21:46

а ты попробуй для начала отключить FireWall и протесть свой сервак на разных людях и с разными фтп клиентами. Если тоже самое, то тут явно или серв-у не правельно настроил или еще чего-нибудь.

Автор: Bubble-Gum Вторник, 29 Апреля 2003, 22:09

для фтп нужно два порта - стандарт 20 и 21 один для собственно трансфера а другой для служебных данных. Оба порта должны быть открыты. Если порты нестандартные то может быть проблема, потому как помимо этих двух пассив модус по умолчанию использует разные порты - которые обычно на файервалле закрыты.

вариант - если есть в настройках возможность задать порт для пассива
то потом в файервалле его можно открыть и проблем быть не должно.

хотя я могу и ошибаться smileold.gif

Автор: Leshii Вторник, 29 Апреля 2003, 23:15

насколько я понимаю, serv-u можно дать в нортоне разрешение на использование всех портов.

Но вообще у меня такая ошибка была когда кто-то сидящий за роутерем пытался зайти на сервер не в пассиве, и у меня были заблокированы fxp трансферы, но я юзаю не Serv-U

Автор: BootsMan Среда, 30 Апреля 2003, 6:59

В соседнем топике линк по этому поводу проскочил:

http://isaserver.org/articles/How_the_FTP_protocol_Challenges_Firewall_Security.html

Автор: kempston Среда, 07 Мая 2003, 16:47

Срока "530 Only client IP address allowed for PORT command" возникает в случае когда запрещено использование fxp и аргумент команды порт не соответствует определившимуся ip адресу клиента, что скорее всего говорит о том, что клиент пользуется NAT либо об использовании некорректно настроеннго ftp proxy/forwarder/bouncer.
Для того чтобы отключить запрет в фтп серевере нужно (для 4й версии Serv-U) запустить Serv-U Administrator
и снять флаг напротив опции 'Serv-U Servers'->'<< Local Server >>'->'Settings'->'Block "FTP_bounce" attacks and FXP'
Но если клиент ходит через NAT, то это не поможет, и он должен либо в качестве адреса сервера использовать локальный адрес сети (вместо внешнего) (если он находится в тойже локалке) либо вместо PORT использовать PASV (пассивный режим).
В случае использования ftp proxy/forwarder/bouncer - решение проблемы требует дополнительной информации об оспользуемом програмном обеспечении, его настройках и сети.

Автор: Gesha Вторник, 13 Мая 2003, 19:07

QUOTE (kempston @ May 7 2003, 08:47)
Срока "530 Only client IP address allowed for PORT command" возникает в случае когда запрещено использование fxp и аргумент команды порт не соответствует определившимуся ip адресу клиента, что скорее всего говорит о том, что клиент пользуется NAT либо об использовании некорректно настроеннго ftp proxy/forwarder/bouncer.
Для того чтобы отключить запрет в фтп серевере нужно (для 4й версии Serv-U) запустить Serv-U Administrator
и снять флаг напротив опции 'Serv-U Servers'->'<< Local Server >>'->'Settings'->'Block "FTP_bounce" attacks and FXP'
Но если клиент ходит через NAT, то это не поможет, и он должен либо в качестве адреса сервера использовать локальный адрес сети (вместо внешнего) (если он находится в тойже локалке) либо вместо PORT использовать PASV (пассивный режим).
В случае использования ftp proxy/forwarder/bouncer - решение проблемы требует дополнительной информации об оспользуемом програмном обеспечении, его настройках и сети.

Попробовал - ругаться перестал, но все равно толу мало. LIST не делает, просто висит, а потом по дефолту закрывает connection. Ходил как из-под NAT-а, так и с компа с реальным IP.

Идеи господа, ну очень не хочется его обратно на 21 порт сажать!

Заранее спасибо.

Автор: starsoft Вторник, 13 Мая 2003, 20:37

Ты пробовал сделать то, что Бубль сказал:

QUOTE (Bubble-Gum @ там)
задать порт для пассива и потом в файервалле его можно открыть


Вот это по идее и должно помочь. В Serv_U порт для пассива задается в Advanced settings. А в своём файрволе разреши коннекты на заданный порт.

С другой стороны полное разрешение активности Serv-U тоже не повредит (imho!) - сервер и без того только по 2 портам и будет работать, заблокировав их от других попыток коннекта кроме авторизованного фтп.

Автор: kempston Вторник, 13 Мая 2003, 21:04

собсвенно автор не говорил что у него пассив не работает, он говорил "После того как я пересадил сервер на нестандартный порт, он снаружи принимает только PASV". Из чего следует логичный вывод что пассив таки работает, но не совсем понятно чем он его не устраевает ?
"Ходил как из-под NAT-а, так и с компа с реальным IP" опять же, на какой айпи ходил внутренний или реальный ?

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)