The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Проблема с vsftpd"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Проблема с vsftpd"
Сообщение от Василий Свиридов emailИскать по авторуВ закладки on 18-Янв-03, 05:15  (MSK)
Не даёт скачивать файлы, в виндах у юзеров после скачивания файлы нулевой длины...

Логинится нормально, по папкам ходит, только вот качать не получается, ни с localhost, ни удалённо. Что странно - upload работает без проблем.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Проблема с vsftpd"
Сообщение от LinaS emailИскать по авторуВ закладки on 18-Янв-03, 19:39  (MSK)
>Не даёт скачивать файлы, в виндах у юзеров после скачивания файлы нулевой
>длины...
>
>Логинится нормально, по папкам ходит, только вот качать не получается, ни с
>localhost, ни удалённо. Что странно - upload работает без проблем.

покажи vsftpd.conf
и
ls -la /ftp/users/home

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Проблема с vsftpd"
Сообщение от Василий Свиридов emailИскать по авторуВ закладки on 18-Янв-03, 22:29  (MSK)
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
idle_session_timeout=600
data_connection_timeout=120
nopriv_user=nobody
ftpd_banner=Welcome to Bionium Software FTP Service
deny_email_enable=YES
banned_email_file=/etc/vsftpd.banned_emails
chroot_local_user=YES
chroot_list_file=/etc/vsftpd.chroot_list
ls_recurse_enable=YES
pam_service_name=vsftpd

Ftp/users/home отсуствует, т.к. все локальные юзеры chroot'ятся в их ~/$Username, а анонимных я не пускаю...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Проблема с vsftpd"
Сообщение от LinaS emailИскать по авторуВ закладки on 19-Янв-03, 01:19  (MSK)
>anonymous_enable=NO
>local_enable=YES
>write_enable=YES
>local_umask=022
>dirmessage_enable=YES
>xferlog_enable=YES
>connect_from_port_20=YES
>xferlog_std_format=YES
>idle_session_timeout=600
>data_connection_timeout=120
>nopriv_user=nobody
>ftpd_banner=Welcome to Bionium Software FTP Service
>deny_email_enable=YES
>banned_email_file=/etc/vsftpd.banned_emails
>chroot_local_user=YES
>chroot_list_file=/etc/vsftpd.chroot_list
>ls_recurse_enable=YES
>pam_service_name=vsftpd
>
>Ftp/users/home отсуствует, т.к. все локальные юзеры chroot'ятся в их ~/$Username, а анонимных
>я не пускаю...

я имею в виду права на файлы в каталоге, в который попадают юзеры по ФТП и откуда они получают файлы нулевой длины - должны быть права на чтение


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Проблема с vsftpd"
Сообщение от Василий Свиридов emailИскать по авторуВ закладки on 19-Янв-03, 01:29  (MSK)
>я имею в виду права на файлы в каталоге, в который попадают
>юзеры по ФТП и откуда они получают файлы нулевой длины -
>должны быть права на чтение

У юзеров есть права читать свои файлы, локально и по SCP к ним доступ есть...

Вот то что говорит FTP клиент

ftp> get 403.zip
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for 403.zip (402246 bytes).
451 Failure writing network stream.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Проблема с vsftpd"
Сообщение от LinaS emailИскать по авторуВ закладки on 19-Янв-03, 01:35  (MSK)
>>я имею в виду права на файлы в каталоге, в который попадают
>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>должны быть права на чтение
>
>У юзеров есть права читать свои файлы, локально и по SCP к
>ним доступ есть...
>
>Вот то что говорит FTP клиент
>
>ftp> get 403.zip
>200 PORT command successful. Consider using PASV.
>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>451 Failure writing network stream.

ага
это попахивает неработающим пассивным режимом ФТП
соединение на высокие порты прикрыт на файрволле?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Проблема с vsftpd"
Сообщение от Василий Свиридов emailИскать по авторуВ закладки on 19-Янв-03, 02:04  (MSK)
>>>я имею в виду права на файлы в каталоге, в который попадают
>>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>>должны быть права на чтение
>>
>>У юзеров есть права читать свои файлы, локально и по SCP к
>>ним доступ есть...
>>
>>Вот то что говорит FTP клиент
>>
>>ftp> get 403.zip
>>200 PORT command successful. Consider using PASV.
>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>451 Failure writing network stream.
>
>ага
>это попахивает неработающим пассивным режимом ФТП
>соединение на высокие порты прикрыт на файрволле?

Вполне возможно, но у меня полиси на файерволе простое - всё, что не
запрещено - разрешено. А запрещены у меня всякие 137-139, и проч...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Проблема с vsftpd"
Сообщение от Василий Свиридов emailИскать по авторуВ закладки on 19-Янв-03, 02:05  (MSK)
>>>>я имею в виду права на файлы в каталоге, в который попадают
>>>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>>>должны быть права на чтение
>>>
>>>У юзеров есть права читать свои файлы, локально и по SCP к
>>>ним доступ есть...
>>>
>>>Вот то что говорит FTP клиент
>>>
>>>ftp> get 403.zip
>>>200 PORT command successful. Consider using PASV.
>>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>>451 Failure writing network stream.
>>
>>ага
>>это попахивает неработающим пассивным режимом ФТП
>>соединение на высокие порты прикрыт на файрволле?
>
>Вполне возможно, но у меня полиси на файерволе простое - всё, что
>не
>запрещено - разрешено. А запрещены у меня всякие 137-139, и проч...


Кстати, из локалки тоже не работает, а она вообще на другой сетевухе...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Проблема с vsftpd"
Сообщение от LinaS emailИскать по авторуВ закладки on 19-Янв-03, 02:16  (MSK)
>>>>>я имею в виду права на файлы в каталоге, в который попадают
>>>>>юзеры по ФТП и откуда они получают файлы нулевой длины -
>>>>>должны быть права на чтение
>>>>
>>>>У юзеров есть права читать свои файлы, локально и по SCP к
>>>>ним доступ есть...
>>>>
>>>>Вот то что говорит FTP клиент
>>>>
>>>>ftp> get 403.zip
>>>>200 PORT command successful. Consider using PASV.
>>>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>>>451 Failure writing network stream.
>>>
>>>ага
>>>это попахивает неработающим пассивным режимом ФТП
>>>соединение на высокие порты прикрыт на файрволле?
>>
>>Вполне возможно, но у меня полиси на файерволе простое - всё, что
>>не
>>запрещено - разрешено. А запрещены у меня всякие 137-139, и проч...
>
>
>Кстати, из локалки тоже не работает, а она вообще на другой сетевухе...
>

а как vsftpd запускается?
система Линукс я так понимаю?

iptables/ipchains?

правила?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Проблема с vsftpd"
Сообщение от Василий Свиридов emailИскать по авторуВ закладки on 19-Янв-03, 07:06  (MSK)
Linux, RH 7.3,

Запускается через xinetd,
Настройки iptables

TCP - 21, 137-139 - Deny
Masquerading изнутри, плюс пара мэппингов через нат.

Кстати, у меня есть tcpserver из поставки qmail, может через него можно привинтить?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Проблема с vsftpd"
Сообщение от LinaS emailИскать по авторуВ закладки on 19-Янв-03, 13:45  (MSK)
>Linux, RH 7.3,
>
>Запускается через xinetd,
>Настройки iptables
>
>TCP - 21, 137-139 - Deny
>Masquerading изнутри, плюс пара мэппингов через нат.
>
>Кстати, у меня есть tcpserver из поставки qmail, может через него можно
>привинтить?

можно, конечно, tcpserver не входит в поставку qmail, см тут:
http://cr.yp.to/ucspi-tcp.html

в общем, как тебе уже написали (см сообщение от uldus), для работы ftp в пассивном режиме нужен модуль (ip_nat_ftp вроде или как то так)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Проблема с vsftpd"
Сообщение от Sampan Искать по авторуВ закладки on 19-Янв-03, 16:49  (MSK)
>>ftp> get 403.zip
>>200 PORT command successful. Consider using PASV.
>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>451 Failure writing network stream.
>
>ага
>это попахивает неработающим пассивным режимом ФТП
>соединение на высокие порты прикрыт на файрволле?

IMHO, все с точностью до наоборот.
Фраза "200 PORT command successful. Consider using PASV" означает нормальный режим FTP. "Consider using PASV" переводится как: "возможно (допустимо) использовать пассивный FTP" - стандартная добавка в vsftpd.

Сдается мне, проблема вовсе не в пассивном FTP через NAT.
"Failure writing network stream" - вот загвоздка!
При этом upload работает. Т.е. reading from network stream проходит. При этом в нормальном FTP исходящее соединение с порта 20 устанавливается не зависимо от upload или download - т.е. устанавливается и firewall ему не мешает (upload то работает).

В комментариях к режиму chroot_local_user=YES есть несколько серьезных предупреждений и этот режим использовать не рекомендуется.
Попробуй для начала выключить chroot_local_user, посмотри что получится

Кстати, версия  vsftpd какая? Не из rpm случаем?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Проблема с vsftpd"
Сообщение от LinaS emailИскать по авторуВ закладки on 20-Янв-03, 15:46  (MSK)
>>>ftp> get 403.zip
>>>200 PORT command successful. Consider using PASV.
>>>150 Opening BINARY mode data connection for 403.zip (402246 bytes).
>>>451 Failure writing network stream.
>>
>>ага
>>это попахивает неработающим пассивным режимом ФТП
>>соединение на высокие порты прикрыт на файрволле?
>
>IMHO, все с точностью до наоборот.
>Фраза "200 PORT command successful. Consider using PASV" означает нормальный режим FTP.
>"Consider using PASV" переводится как: "возможно (допустимо) использовать пассивный FTP" -
>стандартная добавка в vsftpd.
>
>Сдается мне, проблема вовсе не в пассивном FTP через NAT.
>"Failure writing network stream" - вот загвоздка!
>При этом upload работает. Т.е. reading from network stream проходит. При этом
>в нормальном FTP исходящее соединение с порта 20 устанавливается не зависимо
>от upload или download - т.е. устанавливается и firewall ему не
>мешает (upload то работает).
>
>В комментариях к режиму chroot_local_user=YES есть несколько серьезных предупреждений и этот режим
>использовать не рекомендуется.
>Попробуй для начала выключить chroot_local_user, посмотри что получится
>
>Кстати, версия  vsftpd какая? Не из rpm случаем?

да, видимо, не пассивный режим

в RFC959:
в разделе 4.2 FTP REPLYES:

код 451

первая цифра (4) - временная неудача
вторая цифра (5) - состояние файловой системы

в целом ошибка 451 - Requested action aborted. Local error in processing


  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Проблема с vsftpd"
Сообщение от uldus Искать по авторуВ закладки on 19-Янв-03, 12:10  (MSK)
>200 PORT command successful. Consider using PASV.
>451 Failure writing network stream

Не работает пассивный режим: для юзеров работающих через NAT работать без специального ftp-прокси модуля не будет (в новых ipf есть, но нужно его включить) или приписывай пользователям использовать активный режим соединения.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Проблема с vsftpd"
Сообщение от VIRUS emailИскать по авторуВ закладки on 19-Янв-03, 16:25  (MSK)
>>200 PORT command successful. Consider using PASV.
>>451 Failure writing network stream
>
>Не работает пассивный режим: для юзеров работающих через NAT работать без специального
>ftp-прокси модуля не будет (в новых ipf есть, но нужно его
>включить) или приписывай пользователям использовать активный режим соединения.
Попробуй сервак proftpd он есть в портах. Как мне кажется его легче настроить.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Проблема с vsftpd"
Сообщение от uldus Искать по авторуВ закладки on 19-Янв-03, 17:26  (MSK)
>Попробуй сервак proftpd он есть в портах. Как мне кажется его легче
>настроить.

Решить проблему треда это не поможет, так как сущность FTP протокола и методы работы пассивного режима от смены ПО не изменятся.

Тем более я бы крайне не рекомендовал ставить proftpd в виду ужасного кода, который уже года три не могут почистить, что приводит к регулярному обнаружению новых дыр, иначе как не под jail его пускать крайне опасно. vsftpd случай крайне противоположный, не настолько функционален (но как правило даже обычного ftpd вполне хватает), но качество кода прекрасное и главное направление создания - безопасный ftp демон.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру