Komenda Pokazująca Otwarte Porty

[samba]

Jak tj jaką komendą w fedorze sprawdzić otwarte porty przychodzące i wychodzące.

Czy vsftpd potrzebuje portu 21 czy równierz 20?

Który z serwerów ftp na fedorze jest najprostszy w konfiguracji i w miare wydajny oraz bezpieczny?

Możecie przesłać mi linka z polską dokumentacją vsftpd i jego konfiguracją?

Dzięki

[Ponury]

może nmap

[smopi]

netstat

[@Sorror]

netstat -p

[uosiu]

netstat, system-config-securitylevel, nmap

 

ftp potrzebuje 20,21 oraz [costam]contrack_ftp

 

najbezpieczniejszy jest vsftpd. prosty w obsludze. jedyna wada- dodanie usera w serwerze to dodanie usera do systemu- moj konfig

http://en.pastebin.ca/189052

[samba]

Pytam sie o pokazanie otwarych portów gdyż mam dziwny problem z vsftpd.Na ruterze mam przekierowanie portów 21, 20 i w fedorze fc3 w iptables mam cos takiego

 

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9999 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

i przy próbie połączenia programem FAR przez ftp (przy użyciu passive mode) nie moge sie połączyć widze że ftp chce połączyć się przez ip prywatne które ma na stałe przypisane tj 192.160.0.2 a nie przez 83..163.itd Far pokazuje mi taki błąd enterning passive mode numer prywatny ip Type A.

Nie dość że wejscie zajmuje duzo czasu to nie widze swojego katalogu który mogę zobaczyć jak zmienię konfig i łącze sie bez passive mode.

Gdy wrzuce konfig który podałem niżej i łącze się przez passive mode nie widze wtedy żadnego swojego katalogu mimo iż mam prawa.Gdy zakładam katalog to też go nie widze mimo iż fizycznie się zakłada:)

Co może być nie tak??

Prosze o pomoc

 

Mój konfig to vsftpd.conf

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=yes
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
#local_umask=077
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
anon_upload_enable=NO
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
anon_mkdir_write_enable=NO
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=no
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
chown_uploads=YES
chown_username=ftp
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that turning on ascii_download_enable enables malicious remote parties
# to consume your I/O resources, by issuing the command "SIZE /big/file" in
# ASCII mode.
# These ASCII options are split into upload and download because you may wish
# to enable ASCII uploads (to prevent uploaded scripts etc. from breaking),
# without the DoS risk of SIZE and ASCII downloads. ASCII mangling should be
# on the client anyway..
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES

pam_service_name=vsftpd
#enable for standalone mode
listen=YES
tcp_wrappers=YES
chroot_local_user=YES
userlist_file=/etc/vsftpd/userlist
userlist_deny=NO
userlist_enable=yes
file_open_mode=0777
local_umask=0000
port_enable=no
pasv_enable=yes
log_ftp_protocol=yes
dual_log_enable=yes

 

Po raz kolejny proszę o korzystanie ze znaczników 'codebox' zamiast 'code' przy wklejaniu długich listingów - WalDo

[gajownik]

Na ruterze mam przekierowanie portów 21, 20 i w fedorze fc3 w iptables mam cos takiego

 

Tak jak to juz gdzies pisalem: nekrofilia chyba jest prawnie zakazana ;-) Uzywanie dystrybucji bez wsparcia to nic innego jak zabieranie sie za zwloki...

 

i przy próbie polaczenia programem FAR przez ftp (przy uzyciu passive mode)

 

Radze najpierw doczytac o passive mode → http://slacksite.com/other/ftp.html Skoro masz odblokowowane porty 20 i 21 to passive nie bedzie dzialac.

 

Gdy wrzuce konfig który podalem nizej i lacze sie przez passive mode nie widze wtedy zadnego swojego katalogu mimo iz mam prawa.Gdy zakladam katalog to tez go nie widze mimo iz fizycznie sie zaklada:)

 

Klient ftp wysyla tylko dane na command port (21), nie moze polaczyc sie z portem danych, wiec nie widzi zadnych zmian.

 

Co moze byc nie tak??

 

1 ° Ustawic tryb active w kliencie - rozwiazanie to nie bedzie dzialac, gdy ktos uzywa na kliencie firewalla (blokowane wysokie porty) lub jest za natem.

 

lub

 

2° Ustawic w vsftpd, któśe porty beda wykorzystywane do trybu passive i je zforwardowac na routerze (man vsftpd.conf - pasv_max_port oraz pasv_min_port) oraz zaladowac modul ip_conntrack_ftp w /etc/sysconfig/iptables-config (nowszy system-config-securitylevel sam to robi)

[samba]

Gajownik Jesteś moim Bogiem

Dzięki za podpowiedź bo męczyłem sie z tym ale nie rozumiem kilku rzeczy.

 

Po pierwsze dlaczego napisałeś że jeśli otworzyłem porty 21 i 22 zarówno na FC3 i na ruterze zrobiłem forwardowanie to dlaczego passive nie będzie działać? Przeciez to porty wykorzystywane przez ftp rozumiem że tryb passiv potrzebuje jeszcze jakiegoś dowolnego wysokiego portu? Dobrze rozumeim?

Czy to port otwierany losowo na kliencie? (ten wysoki)

Zgodnie z tym co napisałeś jesli mam już forwarodwane porty 21 i 20 na ruterze to czy mogę dopisać w konfigu

pasv_max_port=21

pasv_min_port=20

????????????????

 

A co do starości FC3 to jest ona stablina i do tego co potrzebuje jest w zupełności wystarczająca.Każda nowa wersja FC ma nowe błędy a stare są dopracowane przynajmniej takie mam o nich zdanie.

 

Dziwne jest to iż mam taki sam vsftpd.conf i w trybie passive na innej FC3 działa a u mnie nie (przynajmniej tak mówił mi znajomy z innej firmy z którą będziemy się łączyć przez ftp) Też mają ruter z natem i u nich jest ok. Więc u mnie myślałem że to wina rutera. Nawet jak wyłanczałem iptables tryb passive nie działał tak jak trzeba:(

 

Czy jeśli zrobię yum update vsftpd to będę musiał robić też update iptables? (Chodzi mi o to żeby nie ładować ręcznie ip_conntrack_ftp) i czy po update firewalla nie zmienią mi się (_regóły_ → reguły) ORT w iptables??

 

Jak załadować na stałe moduł ip_conntrack_ftp ???

 

 

 

[gajownik]

Po pierwsze dlaczego napisałeś że jeśli otworzyłem porty 21 i 22 zarówno na FC3 i na ruterze zrobiłem forwardowanie to dlaczego passive nie będzie działać? Przeciez to porty wykorzystywane przez ftp rozumiem że tryb passiv potrzebuje jeszcze jakiegoś dowolnego wysokiego portu? Dobrze rozumeim?

 

Nie przeczytałeś tego linka o trybie passive i active. W trybie passive w ogóle nie jest używany port 20. Serwer otwiera jakiś dowolny wysoki i do niego dobija się klient ftp.

 

Czy to port otwierany losowo na kliencie? (ten wysoki)

 

W obu trybach wybierany jest losowy port w kliencie (port który uczestniczy w wysyłaniu komend). Ten do danych zawsze jest o 1 większy.

 

Zgodnie z tym co napisałeś jesli mam już forwarodwane porty 21 i 20 na ruterze to czy mogę dopisać w konfigu

pasv_max_port=21

pasv_min_port=20

????????????????

 

Nie. Port 21 jest do przesyłania komend. Nie możesz go wykorzystywać jeszcze raz do przesyłania danych. Chodziło mi raczej o coś w stylu:

pasv_max_port=45501
pasv_min_port=45521

 

Oczywiście trzeba je też zforwardować na routerze. Nie wiem jak ilość dostępnych portów wpływa na ilość maksymalnych połączeń.

 

A co do starości FC3 to jest ona stablina i do tego co potrzebuje jest w zupełności wystarczająca.

 

Stabilna? A co z bezpieczeństwem? Ona jest jako tako łatana przez fedoralegacy.org. Jak chesz stabilność to lepiej trzeba było się bawić RHEL czy CentOS-em.

 

Każda nowa wersja FC ma nowe błędy a stare są dopracowane przynajmniej takie mam o nich zdanie.

 

Ja to widze inaczej - stara wersja ma stare błędy, a nowa wersja ma nowe. Na korzyść nowszej Fedory przemawia lepsza wydajność i porpawione bezpieczeństwo różnymi nowymi funkcjami.

 

Dziwne jest to iż mam taki sam vsftpd.conf i w trybie passive na innej FC3 działa a u mnie nie (przynajmniej tak mówił mi znajomy z innej firmy z którą będziemy się łączyć przez ftp) Też mają ruter z natem i u nich jest ok. Więc u mnie myślałem że to wina rutera.

 

To, że niby działa to czasami może wynikać z faktu, że ktoś źle przetestował ;-) Nie wiem też co to za router - może ma bardziej inteligentnego firewall, potrafi śledzić połączenia ftp i je odpowiedni modyfikować.

 

Czy jeśli zrobię yum update vsftpd to będę musiał robić też update iptables?

 

O ile mi wiadomo to do FC3 już dawno nie ma aktualizacji, więc raczej nic w ten sposób nie zaktualizujesz.

 

(Chodzi mi o to żeby nie ładować ręcznie ip_conntrack_ftp) i czy po update firewalla nie zmienią mi się (_regóły_ → reguły) ORT w iptables??

 

Jakiego firewalla? iptables?

 

Jak załadować na stałe moduł ip_conntrack_ftp ???

 

Przecież Ci napisałem, że w pliku /etc/sysconfig/iptables-config (linijka IPTABLES_MODULES="")

[samba]

Dzięki Gajownik

Temat rozwiązany pomyślnie

 

Mój ruter to DLink DI-634M .Co zrobiłem:

 

Ustawiłem tzw Virtual serwer FTP 21 firewall rules allow all oraz przekierowałem porty 21 i 20.

W konfigach vsftpd i iptables nic nie zmieniałem więc to kwestia rutera bo po włączeniu virtual serwer dla FTP

i wyłączeniu forwardowania portów 21 i 20 mogę połączyć się farem bez problemu.

Jednakże zauważyłem że mam problem z weściem do katalogów nie wiem od czego to zależy ale raz wchodzi sie bez problemów a raz trzeba czekać bardzo długo (przy trybie passive) zarówno przez przeglądareke jaki i klienta ftp.

Więc dodałem następujące wpisy w vsftpd.conf

 

 
connect_from_port20=yes
passv_min_port=0
passv_max_port=0

 

# stored in /etc/modules.conf.
IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"

 

Przekierowanie portów 21 i 20 zostawiłem włączone na ruterze i śmiga jak na razie:) w obu trybach.

 

Mam tylko pytanie jak zrobić aby po wejściu (przez przeglądarke) na /ftp/pub wyświetłał sie klientowi tekst np witamy na serwerze XXX ?

 

w katalogu pub zrobiłem plik .messages a w nim napisałem tekst w konfigu mam

dirmessage_enabled=Yes

a mimo tego nie widze komunikatów wchodząc przez przeglądarkę??

Co robię źle?

 

[gajownik]

Ustawiłem tzw Virtual serwer FTP 21 firewall rules allow all oraz przekierowałem porty 21 i 20.

Nie słyszałem jeszcze o czymś takim. Możesz napisać co robi ten virtual server ftp?

 

 
passv_min_port=0
passv_max_port=0

 

Trochę dziwne te wartości. Dlaczego zera?

 

Mam tylko pytanie jak zrobić aby po wejściu (przez przeglądarke) na /ftp/pub wyświetłał sie klientowi tekst np witamy na serwerze XXX ?

 

A to nie jest czasem tak, że przeglądarka olewa te komunikaty?

[broda]

A to nie jest czasem tak, że przeglądarka olewa te komunikaty?

 

przez tekstowego klienta można te komunikaty zoabaczyć tylko

 

 

[samba]

Nie słyszałem jeszcze o czymś takim. Możesz napisać co robi ten virtual server ftp?

to coś takiego jak NAT oto co dlink rozumie pod nazwą virtual serwer

"The Virtual Server option gives Internet users access to services on your LAN. This feature is useful for hosting online services such as FTP, Web, or game servers. For each Virtual Server, you define a public port on the router for redirection to an internal LAN IP Address and LAN port. "

 

Trochę dziwne te wartości. Dlaczego zera?

A to nie jest czasem tak, że przeglądarka olewa te komunikaty?

zera to wszystkie porty tj komunikacja odbywa się na wszystkich możliwych portach

a przeglądarka masz racje olewa te komunikaty tylko jakieś tekstowe klienty potrafią zobaczyć coś takiego