Dotaz: Nestandardní port na FTP

18.10.2004 12:22 jenda
Nestandardní port na FTP

Přečteno: 532×

Odpovědět | Admin

Běží mi ProFTP na portu 21. Mám nastavený firewall a nemám s tím žádný problém. Protože jsem na lokální síti, tak potřebuji, abych měl přístup z venku. Nastavil jsem to na firewallu (iptables) vše pěkně chodí.
Protože na lokální síti mám více počítačů, nemůžu použít port 21, nastavil jsem tedy port 30 (v ProFTP). Nechci použít přesměrování. Z lokálního počítače opět vše chodí (na kterým běží FTP server), ale ze sítě se mi sice naváže spojení, ale vlastní přenos souborů nefunguje.
Změnil jsem (ta 21 tam být nemusí):

/sbin/modprobe ip_conntrack_ftp ports=21,30

ale ani to nepomohlo. Pakety proste nejsou zachyceny firewalem a na FTP server se nedostanou.
Pochopitelne port 30 mam otevreny (v Iptables). Na server se nedostanou ty pakety, ktere maji vysoké hodnoty (v mem případě 50000-55000) Mám nastaveno v proftpd.conf (ale to není důležité):

PassivePorts 50000 55000
Port 30

Myslím si, že chyba bude asi ve špatně nastaveném modulu ip_conntrack_ftp, ale nevím jaká. Možná nějaká inicializace tohoto modulu. Opakuji na portu 21 vše chodí a na jiném portu pouze z lokalního počítače (Tam se neuplatni firewall).

Nástroje: Začni sledovat (1) ?

Odpovědi

18.10.2004 12:31 jm
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

Po pridani ip_nat_ftp ports=21,30 stale nefunguje?

18.10.2004 12:58 jenda
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

To jsem zapomněl napsat mám tam ještě:

/sbin/modprobe ip_nat_ftp ports=21,30

Zkoušel jsem vypnout počítač a znova jej zapnout (už zkouším úplně všechno) a stále je situace stejná.

18.10.2004 13:05 jm
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

A ty porty 50000 - 55000 mate povolene?

18.10.2004 13:14 jenda
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

Ty porty 50000-55000 nemám povolené (ale ani zakázané), neboť předpokládám, že při nastavení serveru na port 21 jsem je nepotřeboval povolovat (a přesto to chodilo), tak je nebudu potřebovat ani při změně na port 30. Toto by snad měl obstarávat modul ip_conntrack_ftp.

19.10.2004 08:38 jenda
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

Tak abych to shrnul, udělal jsem testy a dopadly takto:

1. varianta tato chodi bez problemů:
ProFTP na portu 21.
Na firewallu otevřen pouze port 21.
Zaveden modul ip_conntrack_ftp.

2. varianta - opět spolehlivě chodí:
ProFTP na portu 21.
Na firewallu otevřen port 21 a rozsah portů 50000-55000.
Není zaveden modul ip_conntrack_ftp.

3. varianta (obdoba 1), toto nefunguje (!):
ProFTP na portu 30.
Na firewallu otevřen pouze port 30.
Zaveden modul ip_conntrack_ftp ports=21,30.

4. varianta (obdoba 2), toto zase funguje:
ProFTP na portu 30.
Na firewallu otevřen port 30 a rozsah portů 50000-55000.
Není zaveden modul ip_conntrack_ftp.

Zajímalo by mě, proč nefuguje 3 varianta, když první funguje. Jako kdyby modul ip_conntrack_ftp nechtěl pracovat na jiném portu.

19.10.2004 09:23 wocis
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

jednou jsem se s tim take pral a nakonec jsem to vyresil podle nejakeho navodu - musel jsem prekompilovat jadro + spolu s netfiltrama. chovalo se mi to podobne a nekde jsem zjistil, ze proste moje verze netfiltru neni zkompilovana s podporou nat_ftp na jinem portu nez 21 (respektive ze "dlabe" na parametry dodane v promenne ports=...) (v tu dobu jsem mel redhat 9.0) sice jsem ti moc neporadil ale mozna jsem te nasmeroval na dalsi mozny smer hledani :-)

20.10.2004 20:52 jenda
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

Tak jsem to vyřešil, jak jsem to původně nechtěl udělat, no ale funguje to. Ponechal jsem variantu číslo jedna (FTP běží na standartním portu 21). Na firewalu jsem nechal otevřený port 21. Vysoký porty jsem nechal zakázaný. A přidal jsem tento řádek:

$IPT -t nat -A PREROUTING -i $X0_FACE -p tcp --dport 30 -j REDIRECT --to-port 21

Navíc tam ještě mám omezení na konkrétní příchozí adresy. Do kompilace jádra se mi prozatím nechce. Děkuji vám všem.

20.10.2004 21:38 jm
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

No tohle reseni jsem teda nepochopil. K cemu je dobre pripojovat se na port 30 a presmerovavat ho na port 21, tomu vazne nerozumim.

20.10.2004 22:51 jenda
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

Myslím, že jsem to psal na začátku. Chci, aby toto FTP běželo na portu 30, protože na lokální síti mi už běží jiný počítač na portu 21. A chtěl jsem, aby byly oba použitelné i když mám pouze jednu veřejnou adresu.

20.10.2004 23:13 jm
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

To FTP bezi teda na tom firewallu?

21.10.2004 00:48 jenda
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

Ano firewall, o kterém byla řeč, běží na stejném počítači jako FTP server (Mimochodem na každém počítači v lokální síti mi běží, ale to není důležité). Potřeboval jsem se na to FTP dostat jak z lokální sítě, tak i z venku. Takhle to funguje. Na hardwarovém routru (SMC7004VRR), který je branou do internetu, mám pouze forwarding některých portů na jednotlivé počítače v síti. Tyto počítače neběží trvale. Trvale běží pouze tento routr.

25.10.2004 16:02 Milhauz | skóre: 4
Rozbalit Rozbalit vše Re: Nestandartní port na FTP

No taky jsem řešil podobný problém. Proftpd na vnitřní síti comp1(10.3.0.50) Firewal comp2 (veřejná IP)běží na něm sice Keiowin route ale postup bude stejný Comp 2 firewall port 2121 mapovat na 10.3.0.50 :2121 1024-1030 mapovat na 10.3.0.50 Comp1 Ftp port2121 spuuštěn v pasiv mod porty 1024-1030 a v proftpd.conf jsem musel mít položku MasqueradeAddress (veřejná IP) bez té jsem se z venku sice přihlásil ale to bylo vše.. Pokud jsem to dobře pochopil tak je to něco v tom smyslu Tvářit se jako... a jdede to. a ve vnitřní siti mi jede Proftpd na portu 21 takže uvnitř sítě žádný problém.

Založit nové vlákno • Nahoru

Tiskni Sdílej: