Каскадный · [ Стандартный ] · Линейный+ ФТП сервер перестал пускать с PORT MODE, Слющ, абыдна, клянусь - чесн слово :)

[Gesha]

Имею FTP сервер (Serv-U) и Norton Personal FireWall. В настройках FW разрешил ServUDaemon принимать/отвечать на все connectinos по обоим протоколам (TCP/UDP).
Пока сервак сидел на 21 порту все работало пучком.
После того как я пересадил сервер на нестандартный порт, он снаружи принимает только PASV. Error: "200 type set to I. 530 Only client IP address allowed for PORT command".

Вопросы:
1. Дело в настройке сервера или это FW (я лично думаю что второе, но не знаю как сконфигурировать) ?
2. Как это собственно лечить ?

Просьба отвечать по существу (варинаты ответов: замени ruki.dll / brain.dll просьба держать для флейма).

Заранее спасибо за конструктивные ответы

[Zolo]

а ты попробуй для начала отключить FireWall и протесть свой сервак на разных людях и с разными фтп клиентами. Если тоже самое, то тут явно или серв-у не правельно настроил или еще чего-нибудь.

[Bubble-Gum]

для фтп нужно два порта - стандарт 20 и 21 один для собственно трансфера а другой для служебных данных. Оба порта должны быть открыты. Если порты нестандартные то может быть проблема, потому как помимо этих двух пассив модус по умолчанию использует разные порты - которые обычно на файервалле закрыты.

вариант - если есть в настройках возможность задать порт для пассива
то потом в файервалле его можно открыть и проблем быть не должно.

хотя я могу и ошибаться

[Leshii]

насколько я понимаю, serv-u можно дать в нортоне разрешение на использование всех портов.

Но вообще у меня такая ошибка была когда кто-то сидящий за роутерем пытался зайти на сервер не в пассиве, и у меня были заблокированы fxp трансферы, но я юзаю не Serv-U

[BootsMan]

В соседнем топике линк по этому поводу проскочил:

http://isaserver.org/articles/How_the_FTP_...l_Security.html

[kempston]

Срока "530 Only client IP address allowed for PORT command" возникает в случае когда запрещено использование fxp и аргумент команды порт не соответствует определившимуся ip адресу клиента, что скорее всего говорит о том, что клиент пользуется NAT либо об использовании некорректно настроеннго ftp proxy/forwarder/bouncer.
Для того чтобы отключить запрет в фтп серевере нужно (для 4й версии Serv-U) запустить Serv-U Administrator
и снять флаг напротив опции 'Serv-U Servers'->'<< Local Server >>'->'Settings'->'Block "FTP_bounce" attacks and FXP'
Но если клиент ходит через NAT, то это не поможет, и он должен либо в качестве адреса сервера использовать локальный адрес сети (вместо внешнего) (если он находится в тойже локалке) либо вместо PORT использовать PASV (пассивный режим).
В случае использования ftp proxy/forwarder/bouncer - решение проблемы требует дополнительной информации об оспользуемом програмном обеспечении, его настройках и сети.

Отредактировано: kempston в Среда, 07 Мая 2003, 17:45

[Gesha]

QUOTE (kempston @ May 7 2003, 08:47)

Срока "530 Only client IP address allowed for PORT command" возникает в случае когда запрещено использование fxp и аргумент команды порт не соответствует определившимуся ip адресу клиента, что скорее всего говорит о том, что клиент пользуется NAT либо об использовании некорректно настроеннго ftp proxy/forwarder/bouncer. Для того чтобы отключить запрет в фтп серевере нужно (для 4й версии Serv-U) запустить Serv-U Administrator и снять флаг напротив опции 'Serv-U Servers'->'<< Local Server >>'->'Settings'->'Block "FTP_bounce" attacks and FXP' Но если клиент ходит через NAT, то это не поможет, и он должен либо в качестве адреса сервера использовать локальный адрес сети (вместо внешнего) (если он находится в тойже локалке) либо вместо PORT использовать PASV (пассивный режим). В случае использования ftp proxy/forwarder/bouncer - решение проблемы требует дополнительной информации об оспользуемом програмном обеспечении, его настройках и сети.

Попробовал - ругаться перестал, но все равно толу мало. LIST не делает, просто висит, а потом по дефолту закрывает connection. Ходил как из-под NAT-а, так и с компа с реальным IP.

Идеи господа, ну очень не хочется его обратно на 21 порт сажать!

Заранее спасибо.

[starsoft]

Ты пробовал сделать то, что Бубль сказал:

QUOTE (Bubble-Gum @ там)

задать порт для пассива и потом в файервалле его можно открыть

Вот это по идее и должно помочь. В Serv_U порт для пассива задается в Advanced settings. А в своём файрволе разреши коннекты на заданный порт.

С другой стороны полное разрешение активности Serv-U тоже не повредит (imho!) - сервер и без того только по 2 портам и будет работать, заблокировав их от других попыток коннекта кроме авторизованного фтп.

[kempston]

собсвенно автор не говорил что у него пассив не работает, он говорил "После того как я пересадил сервер на нестандартный порт, он снаружи принимает только PASV". Из чего следует логичный вывод что пассив таки работает, но не совсем понятно чем он его не устраевает ?
"Ходил как из-под NAT-а, так и с компа с реальным IP" опять же, на какой айпи ходил внутренний или реальный ?