FTP server+socket error

[K3z@lb]

Zdravim na pc jsem si nainstaloval FTP server proFTP ale vzhledem k tomu ze jsem za routerem tam mam forwardnutej port 23221.....a jakmile se zkousim pripojit  tak to haze chyby...nejdriv illegal port... a kdyz jsem podel jednoho prispevku na abclinuxu zmenil passive port range tak mi to   haze socket error #10051..nevite co s tim?? dík

[K3z@lb]

tak jsem se dostal k tomu ze pri aktivnim modu to hodi chybu pri prenosu dat Illegal port a pri pasivu  socket error ........ http://www.abclinuxu.cz/forum/show/138152 zde jsem nasel ze to vyresil virtualhostem ale nejak presne nechapu jak ho mam presne napsat mam forwardnutej port 23221 :

Kód: [Vybrat]

<VirtualHost zde_IP>
  Servername                    "0.0.0.0"
  Port                          23221
  DeferWelcome                  on
  ServerIdent                   on "My FTPD"
  RequireValidShell             off
  DefaultRoot                   ~
  <Limit LOGIN>
AllowUser kezalb
    DenyAll
  </Limit>
</VirtualHost>
Takhle nebo to mam spatne???

[Petr Merlin Vaněček]

Víte o tom, že jen jeden forwardnutý port Vám na FTP stačit nebude? Pravděpodobně to je totiž ta chyba.
Chtělo by to buď být přímo na vřejné IP, nebo mít přesměrován ještě další blok portů (ovšem tak alespoň 10 po sobě jdoucích) a následně použít PassivePorts.

[ETNyx]

Zdravím nejsem v této problematice tak zběhlý, ale pokud použiváte aktivní mód měli by byt na routru otevreny dva porty defalutne to jsou 20 a 21 jeden pro prikazy druhy pro samostatny prenos. U pasivního by mělo být portů otevřeno víc a server je nějakym zpusobem vyhledava (ty volne) na kterych muze komunikovat.

Edit: Sakra pozde

[Petr Merlin Vaněček]

ETNyx: Ani tak to není - u aktivního spojení je potřeba opravdu pouze jeden port - TCP 21 nad kterým se server-klient domluví na následném postupu pro odesílání dat. Celý vtip je ten, že v active módu klient MUSÍ mít veřejnou IP a otevřené UDP porty, které si právě nad TCP 21 domluví se serverem. Což je problém, protože většina klientů je většinou za NAT nepodporující průchod FTP protokolu (v linuxu a iptables se toto řeší pomocí modulů ip_conntrack, ip_conntrack_ftp, ip_nat_ftp, etc.), případně mají vlastní firewall, který uzavře vnější porty světu. Právě proto se využívá passive spojení, kdy server distribuuje do světa určitý počet volných portů vymezených právě pro FTP spojení, s klientem se nad TCP 21 domluví, který port je otevřený, klient se na něj připojí a server mu zde poskytne požadovaná data.

Celá problematika je ještě trochu složitější, ale zjednodušeně je to tak. Co se týče portu 20 (ftp-data) - je to archaické, nepoužívané a z 99% nefunkční.

[K3z@lb]

takze si musim nechat forwardnout dalsi porty?? neco resim zaroven i tady takze neco podobneho???

edit: zapomnel jsem link https://www.abclinuxu.cz/show/236649

[Petr Merlin Vaněček]

Jisteže ano, jeden port Vám stačit nebude. Těch dalších portů by mohlo být alespoň 10 - každý přenos si otevírá nový port, tak aby se to třeba při souběžném stahování nezahltilo. Také by bylo dobré vědět, kolik uživatelů zaráz bude operovat. A podle toho volit počet passive ports.

[K3z@lb]

cili co uzivatel to jeden port??? on se totiz bude pocet uzvivatelu zvetsovat (alespon doufam..) takze radsi vic portu asi co?? a pk normal v Gproftpd tam rozsach tech portu co mam forwardnutych ze???

[Petr Merlin Vaněček]

Ono i jeden uživatel si vezme více portů - vpodstatě co přenos (a to je i výpis adresáře) to jeden port.

[K3z@lb]

on kazdej clovek vzdycki se akorat prihlasi a nahraje soubor na to mu staci jeden port nebo víc??

[Petr Merlin Vaněček]

Prostě na opravdu každý přenos (včetně výpisu adresáře) je potřeba jedno spojení, které je ne vždy korektně uzavřeno. Takže se může stát, že pokud nastavíte server s např. třemi forwardnutýmy porty, že i jeden uživatel ho kompletně zabije.

[K3z@lb]

Ok tak proste dam vic portu a ketry si mam nechat forwardnout.... muzu treba ty 60000 az 60150

[Petr Merlin Vaněček]

Jistě. Je to jedno které.

[ETNyx]

Petr Merlin Vaněček: No a je to nějaké bezpečnostní riziko? kdyz sem si delal FTP u sebe doma tak mi to neslo do ty doby, nez sem povolil oba porty? Jako ne ze bych se bal toho ze by me nekdo napadl, spoustim to jen kdyz nekomu neco chci dat takze asi tak 1% casu co je ten PC zapnuty pak se mi zase prepne firewall , jen tak pro zajimavost?

[Petr Merlin Vaněček]

Petr Merlin Vaněček: No a je to nějaké bezpečnostní riziko? kdyz sem si delal FTP u sebe doma tak mi to neslo do ty doby, nez sem povolil oba porty? Jako ne ze bych se bal toho ze by me nekdo napadl, spoustim to jen kdyz nekomu neco chci dat takze asi tak 1% casu co je ten PC zapnuty pak se mi zase prepne firewall , jen tak pro zajimavost?

Který druhý port? FTP je vždycky bezpečnostní riziko. Veškerý obsah vč. hesel je přenášen jako plaintext.

[ETNyx]

Který druhý port? FTP je vždycky bezpečnostní riziko. Veškerý obsah vč. hesel je přenášen jako plaintext.

JJ to vim ze se tak prenasi, jen jsem chtel vedet jestli v tom neni nejaka zrada (vzhledek k predchozim postum) kdyz sem musel otevrit jak 21 tak 20, jako FTP server jede to si nemuzu stezovat

[K3z@lb]

tak mi admin forwardnul ty porty.....pres webove rozhrani se sice pripojim (to mi pred neslo....nenabehla stranka) ale porad mi nejde odeslat ten soubor...ve vnitřní síti to jde dobre ale jak se pripojim pres vnejsi IP tak neodeslu soubor.....socket error #10050 nevíte co s tím?? jestli neni potreba  povolit nejak ty porty....tady jsem neco nasel ale nevim jestli je to ono http://wiki.ubuntu.cz/UFW