nixp.ru v3.0

20 октября 2017,
пятница,
20:41:11 MSK

DevOps с компанией «Флант»
napavik написал 5 октября 2006 года в 16:33 (845 просмотров) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 5 комментариев на сайте.

Привет всем!

есть RHEL 4 с этой машины надо выйти на ftp сервер, расположенный и физически и логически в одном сегменте, но, к сожалению, неподдерживающий пассивный режим.

и ftp сеанс выглядит так:

ftp> debug

Debugging on (debug=1).

ftp> passive

Passive mode off.

ftp> asc

—> TYPE A

200 COMMAND OKAY. PRO01PT0

ftp> get oper.new

local: oper.new remote: oper.new

—> PORT 172,18,25,9,128,246

200 COMMAND OKAY. PRO01PT0

—> RETR oper.new

150 FILE STATUS OKAY; ABOUT TO OPEN DATA CONNECTION. PRO01RS0

(большая пауза)

425 CANT OPEN DATA CONNECTION. PRO05000

ftp> close

—> QUIT

а рядом с ASPLinux 7.2 это же выглядит так:

ftp> debug

Debugging on (debug=1).

ftp> passive

Passive mode off.

ftp> ascii

—> TYPE A

200 COMMAND OKAY. PRO01PT0

ftp> get oper.new

local: oper.new remote: oper.new

—> PORT 172,18,25,109,236,159

200 COMMAND OKAY. PRO01PT0

—> RETR oper.new

150 FILE STATUS OKAY; ABOUT TO OPEN DATA CONNECTION. PRO01RS0

226 CLOSING DATA CONNECTION; REQUESTED FILE ACTION SUCCESSFUL. PRO03CC0

3019 bytes received in 0.0914 secs (32 Kbytes/sec)

ftp>

путем долгих и упорных поисков применяя netcat (nc) и снифер выяснилось что RHEL 4 не разрешает открывать слушающий порт 20 для передачи данных в активном режиме — когда клиент открывает слушающий порт! а сервер на него коннектится и передает данные!

какой-то … firewall в RHEL 4 это запрещает

вопрос такой как заставить работать на RHEL 4 ftp клиента в активном режиме ?

Павел.

__mike__

отключить файерволл!!!!

napavik

service iptables stop

а потом

cnkconfig --level on|off|reset так его вообще выключить???

fly4life
napavik
service iptables stop

а потом

cnkconfig --level on|off|reset так его вообще выключить???



chkconfig iptables off

(или запусти ntsysv и убери там звёздочку с соответствующего сервиса).

Anarchist

Горячие вы, хлопцы…

Ну зачем отключать файрволл?

Может правильнее переконфигурить его?

napavik

Да! правильно! но как?

fly4life
napavik
Да! правильно! но как?

А файерволл тебе точно нужен? На клиентской-то машине ;).

napavik

Приношу извинения за молчание! Вынужден был вчера рано уйти!

про файервол!

в принципе конечно он может быть и не нужен! но чем не понравились такие настройки:

[root@billing2 var]# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

RH-Firewall-1-INPUT all — anywhere anywhere

Chain FORWARD (policy ACCEPT)

target prot opt source destination

RH-Firewall-1-INPUT all — anywhere anywhere

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)

target prot opt source destination

ACCEPT all — anywhere anywhere

ACCEPT icmp — anywhere anywhere icmp any

ACCEPT ipv6-crypt-- anywhere anywhere

ACCEPT ipv6-auth-- anywhere anywhere

ACCEPT udp — anywhere 224.0.0.251 udp dpt:5353

ACCEPT udp — anywhere anywhere udp dpt:ipp

ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED

ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh

ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ftp

REJECT all — anywhere anywhere reject-with icmp-host-prohibited

Anarchist
fly4life
А файерволл тебе точно нужен? На клиентской-то машине ;).

Паранойи. Много. Не бывает.

napavik

да как бы нет! там довольно закрытый сегмент!

просто хочется послушать специалистов — что не так!

fly4life

С настройками файерволла (в плане доступа на удалённый FTP-сервер) у тебя всё нормально.

Слушай, а не SELinux ли всему виной? Отключи его и пробуй снова.

daemonBSD_PowerPC
napavik
Привет всем!

есть RHEL 4 с этой машины надо выйти на ftp сервер, расположенный и физически и логически в одном сегменте, но, к сожалению, неподдерживающий пассивный режим.

так может поставить фтп клиенту которая могет и непассивный?

мне думается не нужно трогать ни файрволл ни SE

автор с консольного ftp простого хочет на сервер?

napavik

Отвечаю сразу всем:

SeLinux ни при чем и с ним и без него не рабоотает!

начинает работать если отключаю файервол

# service iptables stop

установка другого клиента, я думаю ни к чему не приведет: как работает клиент в активном режиме? — пытается открыть на прослушивание 20 порт, а именно это не дает сделать файервол настройки, которого приведены выше!

С уважением, Павел.

fly4life

Модуль ip_conntrack_ftp загружен?