Re: vsftpd no accesible
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hola
On Tuesday 28 January 2003 16:50, Pepe Chalmés wrote:
> Hola!
>
> Envié una pregunta parecida hace días, pero ahora el caso es ligeramente
> diferente e intentaré documentarla mejor.
>
>
> Tengo una Woody instalada recientemente y actualizada. He instalado
> vsftpd, y no había antes ningún otro servidor de FTP puesto. El servidor
> es 192.168.1.205 y el cliente desde el que hago pruebas es
> 192.168.1.203 (se llaman "espai5" y "espai3", respectivamente).
>
>
> El problema:
>
>
> pepe@espai3:~$ ftp espai5
> Connected to espai5.ciber-espai.net.
> 421 Service not available, remote server has closed connection
> ftp> bye
>
>
>
> ¿Las causas?
>
>
> En "espai5" quito todas las reglas del firewall y sigue dando el mismo
> error. Por si acaso tengo permitida la entrada de paquetes nuevos por el
> puerto 20 (TCP y UDP), pero está claro que de momento eso no tiene ningún
> efecto porque, como he dicho, sin iptables de por medio la cosa sigue sin
> ir...
>
>
> Desde espai3 miro si los puertos 21 y 20 están abiertos en el servidor:
>
>
> pepe@espai3:~$ /usr/sbin/tcptraceroute espai5 21
> Selected device eth1, address 192.168.1.203, port 1423 for outgoing packets
> Tracing the path to espai5 (192.168.1.205) on TCP port 21, 30 hops max
> 1 192.168.1.203 (192.168.1.203) [unknown] 0.455 ms
> 192.168.1.205 (192.168.1.205) [open] 0.206 ms 0.202 ms
> pepe@espai3:~$ /usr/sbin/tcptraceroute espai5 20
> Selected device eth1, address 192.168.1.203, port 1424 for outgoing packets
> Tracing the path to espai5 (192.168.1.205) on TCP port 20, 30 hops max
> 1 192.168.1.205 (192.168.1.205) [closed] 0.799 ms 0.597 ms 0.563 ms
>
>
>
> Miro en /etc/inetd.conf:
>
> ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/vsftpd
>
>
>
> Miro en /etc/hosts.allow:
>
> vsftpd: 192.168.1.0/24
Realmente la declaración del demonio debe ser la de la primera línea de
inetd.conf ( se corresponde con la entrada en /etc/services ) no está muy
claro en el man de hosts_access ( man 5 ) con lo que la entrada de vsftpd no
es válida aunque el nombre del demonio sea esa, es como en las farmacias tcpd
entiende de genéricos no de marcas, con lo que la entrada que habilita el ftp
en la red local sería tal que:
ftp: 192.168.1.0/24
O eso pensaría yo a primera vista
Como la regla que permite la conexión se aplicaría al hipotético servicio
vsftpd que no existe, no te habilita la conexión al ftp através de tcpd ( man
tcpd )
>
>
> En hosts.deny tengo "ALL: ALL". AQUÍ EL FALLO! Si lo quito obtengo:
Todo lo que no está en hosts.allow está prohibido, cuando quitas la regla lo
que consigues es tener un bonito tcpd que ha dejado de cumplir una función de
wrapper listo y se ha convertido en un simple envoltorio.
>
>
> pepe@espai3:~$ ftp espai5
> Connected to espai5.ciber-espai.net.
> 220 Wellcome to ciber-espai.net's FTP service!
> Name (espai5:pepe): pepe
> 331 Please specify the password.
> Password:
> 230 Login successful. Have fun.
> Remote system type is UNIX.
> Using binary mode to transfer files.
> ftp> bye
> 221 Goodbye.
>
>
>
> El "bye" lo pongo yo ;)
>
>
>
>
> Ahora miro si el puerto 20 está abierto, porque me he quedado con la
> duda:
>
> pepe@espai3:~$ /usr/sbin/tcptraceroute espai5 20
> Selected device eth1, address 192.168.1.203, port 1433 for outgoing packets
> Tracing the path to espai5 (192.168.1.205) on TCP port 20, 30 hops max
> 1 192.168.1.205 (192.168.1.205) [closed] 0.837 ms 0.549 ms 0.550 ms
>
>
> Bien. Supongo que estará disponible sólo cuando vsftpd está en marcha (
> araíz de una petición el puerto 21).
Realmente es algo normal, por un lado tcpd no gestiona las conexiones contra
el puerto 20 ( es un envoltorio más que algo parecido a un firewall ) y estas
conexiones no tienen sentido si una conexión de contro ( ftp puerto 21 ), no
quiero enrollarme mucho, pero si tienes curiosidad el rfc de ftp es un buen
lugar.
>
>
>
> La pregunta es: ¿qué había de malo teniendo "ALL: ALL" en
> hosts.deny que me impidiera acceder a vsftpd? Os aseguro que en este
> momento no caigo.
Yo creo que eso que te cuento, pero sólo lo creo, no estoy seguro al 100%.
>
>
>
>
> Por otra parte, mi /etc/vsftpd.conf es:
>
> anonymous_enable=NO
> local_enable=YES
> write_enable=YES
> local_umask=027
> dirmessage_enable=YES
> xferlog_enable=YES
> connect_from_port_20=YES
> nopriv_user=vsftp
> #adduser --system --no-create-home --shell /bin/false --disabled-login
> vsftp ftpd_banner=Wellcome to ciber-espai.net's FTP service!
> chroot_local_user=YES
>
>
>
>
>
> vsftpd es sencillísimo de instalar y permite "enjaular" con extrema
> facilidad en su $HOME a quienes se conectan al servidor. Por eso no me
> gustaría tener que pasarme a proftpd a menos que vsftpd me dé un
> disgusto. Repito la pregunta porque tengo el vicio de hablar demasiado
> en mis correos: ¿qué había de malo teniendo "ALL: ALL" en
> hosts.deny que me impidiera acceder a vsftpd?
>
> ¿Tendría que haber puesto algo más en mi hosts.allow? El *resto* de
> entradas de hosts.allow son:
>
> ALL: 127.0.0.0/8
> swat: 192.168.1.0/24
> sshd: ALL
Un apunte más, sshd no utiliza tcpd como envoltorio.... o no debería en
cualquier caso....
>
>
>
>
> Muchas gracias a tod@s.
>
Un saludo
Victor
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE+NraPEzqHF8R72ekRAryLAJ9tkco7vY2qIL1RoyWcqAVd/l+p/wCgktdT
dJrpYkq9KNOT8hAEQlX33v8=
=NBJd
-----END PGP SIGNATURE-----
Reply to: