Привет всем!
есть RHEL 4 с этой машины надо выйти на ftp сервер, расположенный и физически и логически в одном сегменте, но, к сожалению, неподдерживающий пассивный режим.
и ftp сеанс выглядит так:
ftp> debug
Debugging on (debug=1).
ftp> passive
Passive mode off.
ftp> asc
—> TYPE A
200 COMMAND OKAY. PRO01PT0
ftp> get oper.new
local: oper.new remote: oper.new
—> PORT 172,18,25,9,128,246
200 COMMAND OKAY. PRO01PT0
—> RETR oper.new
150 FILE STATUS OKAY; ABOUT TO OPEN DATA CONNECTION. PRO01RS0
(большая пауза)
425 CANT OPEN DATA CONNECTION. PRO05000
ftp> close
—> QUIT
а рядом с ASPLinux 7.2 это же выглядит так:
ftp> debug
Debugging on (debug=1).
ftp> passive
Passive mode off.
ftp> ascii
—> TYPE A
200 COMMAND OKAY. PRO01PT0
ftp> get oper.new
local: oper.new remote: oper.new
—> PORT 172,18,25,109,236,159
200 COMMAND OKAY. PRO01PT0
—> RETR oper.new
150 FILE STATUS OKAY; ABOUT TO OPEN DATA CONNECTION. PRO01RS0
226 CLOSING DATA CONNECTION; REQUESTED FILE ACTION SUCCESSFUL. PRO03CC0
3019 bytes received in 0.0914 secs (32 Kbytes/sec)
ftp>
путем долгих и упорных поисков применяя netcat (nc) и снифер выяснилось что RHEL 4 не разрешает открывать слушающий порт 20 для передачи данных в активном режиме — когда клиент открывает слушающий порт! а сервер на него коннектится и передает данные!
какой-то … firewall в RHEL 4 это запрещает
вопрос такой как заставить работать на RHEL 4 ftp клиента в активном режиме ?
Павел.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
отключить файерволл!!!!
service iptables stop
а потом
cnkconfig --level on|off|reset так его вообще выключить???
(или запусти ntsysv и убери там звёздочку с соответствующего сервиса).
Горячие вы, хлопцы…
Ну зачем отключать файрволл?
Может правильнее переконфигурить его?
Да! правильно! но как?
А файерволл тебе точно нужен? На клиентской-то машине ;).
Приношу извинения за молчание! Вынужден был вчера рано уйти!
про файервол!
в принципе конечно он может быть и не нужен! но чем не понравились такие настройки:
[root@billing2 var]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all — anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all — anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all — anywhere anywhere
ACCEPT icmp — anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp — anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp — anywhere anywhere udp dpt:ipp
ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ftp
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
Паранойи. Много. Не бывает.
да как бы нет! там довольно закрытый сегмент!
просто хочется послушать специалистов — что не так!
С настройками файерволла (в плане доступа на удалённый FTP-сервер) у тебя всё нормально.
Слушай, а не SELinux ли всему виной? Отключи его и пробуй снова.
так может поставить фтп клиенту которая могет и непассивный?
мне думается не нужно трогать ни файрволл ни SE
автор с консольного ftp простого хочет на сервер?
Отвечаю сразу всем:
SeLinux ни при чем и с ним и без него не рабоотает!
начинает работать если отключаю файервол
# service iptables stop
установка другого клиента, я думаю ни к чему не приведет: как работает клиент в активном режиме? — пытается открыть на прослушивание 20 порт, а именно это не дает сделать файервол настройки, которого приведены выше!
С уважением, Павел.
Модуль ip_conntrack_ftp загружен?