Имею FTP сервер (Serv-U) и Norton Personal FireWall. В настройках FW разрешил ServUDaemon принимать/отвечать на все connectinos по обоим протоколам (TCP/UDP).
Пока сервак сидел на 21 порту все работало пучком.
После того как я пересадил сервер на нестандартный порт, он снаружи принимает только PASV. Error: "200 type set to I. 530 Only client IP address allowed for PORT command".
Вопросы:
1. Дело в настройке сервера или это FW (я лично думаю что второе, но не знаю как сконфигурировать) ?
2. Как это собственно лечить ?
Просьба отвечать по существу (варинаты ответов: замени ruki.dll / brain.dll просьба держать для флейма).
Заранее спасибо за конструктивные ответы
а ты попробуй для начала отключить FireWall и протесть свой сервак на разных людях и с разными фтп клиентами. Если тоже самое, то тут явно или серв-у не правельно настроил или еще чего-нибудь.
для фтп нужно два порта - стандарт 20 и 21 один для собственно трансфера а другой для служебных данных. Оба порта должны быть открыты. Если порты нестандартные то может быть проблема, потому как помимо этих двух пассив модус по умолчанию использует разные порты - которые обычно на файервалле закрыты.
вариант - если есть в настройках возможность задать порт для пассива
то потом в файервалле его можно открыть и проблем быть не должно.
хотя я могу и ошибаться
насколько я понимаю, serv-u можно дать в нортоне разрешение на использование всех портов.
Но вообще у меня такая ошибка была когда кто-то сидящий за роутерем пытался зайти на сервер не в пассиве, и у меня были заблокированы fxp трансферы, но я юзаю не Serv-U
В соседнем топике линк по этому поводу проскочил:
http://isaserver.org/articles/How_the_FTP_protocol_Challenges_Firewall_Security.html
Срока "530 Only client IP address allowed for PORT command" возникает в случае когда запрещено использование fxp и аргумент команды порт не соответствует определившимуся ip адресу клиента, что скорее всего говорит о том, что клиент пользуется NAT либо об использовании некорректно настроеннго ftp proxy/forwarder/bouncer.
Для того чтобы отключить запрет в фтп серевере нужно (для 4й версии Serv-U) запустить Serv-U Administrator
и снять флаг напротив опции 'Serv-U Servers'->'<< Local Server >>'->'Settings'->'Block "FTP_bounce" attacks and FXP'
Но если клиент ходит через NAT, то это не поможет, и он должен либо в качестве адреса сервера использовать локальный адрес сети (вместо внешнего) (если он находится в тойже локалке) либо вместо PORT использовать PASV (пассивный режим).
В случае использования ftp proxy/forwarder/bouncer - решение проблемы требует дополнительной информации об оспользуемом програмном обеспечении, его настройках и сети.
QUOTE (kempston @ May 7 2003, 08:47) |
Срока "530 Only client IP address allowed for PORT command" возникает в случае когда запрещено использование fxp и аргумент команды порт не соответствует определившимуся ip адресу клиента, что скорее всего говорит о том, что клиент пользуется NAT либо об использовании некорректно настроеннго ftp proxy/forwarder/bouncer. Для того чтобы отключить запрет в фтп серевере нужно (для 4й версии Serv-U) запустить Serv-U Administrator и снять флаг напротив опции 'Serv-U Servers'->'<< Local Server >>'->'Settings'->'Block "FTP_bounce" attacks and FXP' Но если клиент ходит через NAT, то это не поможет, и он должен либо в качестве адреса сервера использовать локальный адрес сети (вместо внешнего) (если он находится в тойже локалке) либо вместо PORT использовать PASV (пассивный режим). В случае использования ftp proxy/forwarder/bouncer - решение проблемы требует дополнительной информации об оспользуемом програмном обеспечении, его настройках и сети. |
Ты пробовал сделать то, что Бубль сказал:
QUOTE (Bubble-Gum @ там) |
задать порт для пассива и потом в файервалле его можно открыть |
собсвенно автор не говорил что у него пассив не работает, он говорил "После того как я пересадил сервер на нестандартный порт, он снаружи принимает только PASV". Из чего следует логичный вывод что пассив таки работает, но не совсем понятно чем он его не устраевает ?
"Ходил как из-под NAT-а, так и с компа с реальным IP" опять же, на какой айпи ходил внутренний или реальный ?
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)