Linux Forum Казахстан

Добра всем.

Такое дело. Имеется Linuix Ubuntu 10.04 с установленным proftpd+mysql. Все уже давно прекрасно работает. У каждого пользователя свой каталог, котором распоряжается только он и пара общих каталогов, + ограничение на количество загружаемых байт на сервер.

Ну а теперь я завел нового пользователя, ни чем не отличающегося от остальных и все бы хорошо, но.... Этот пользователь заходит, логинится, видит папки и файлы, но не может их ни скачать ни залить новые. Какая-то трабла прям. Я со своего компа под этим логином могу все делать. Единственная разница то что тот пользователь подключается с другой подсети. Странно, маршруты прописаны, пинги идут, он логинется файлы и папки видят. Ну в общем вот логи:

Thu May 31 10:57:12 2012 30 ermolaev.sk.tcom 13140 /home/FTP/вфвсф.vsd b _ o r vols ftp 0 * i
Thu May 31 10:57:33 2012 61 ermolaev.sk.tcom 13140 /home/FTP/вфвфвф.vsd b _ o r vols ftp 0 * i
Thu May 31 10:58:02 2012 30 ermolaev.sk.tcom 13140 /home/FTP/вфсчф.vsd b _ o r vols ftp 0 * i
Thu May 31 10:59:08 2012 0 ::ffff:10.190.42.43 22528 /home/FTP/СФСФСЧ.xls b _ o r vols ftp 0 * c
Thu May 31 10:59:15 2012 61 ermolaev.sk.tcom 13140 /home/FTP/СФСЫФЫСФ.vsd b _ o r vols ftp 0 * i
Thu May 31 10:59:39 2012 30 ermolaev.sk.tcom 13140 /home/FTP/СФСФСФ.xls b _ o r vols ftp 0 * i
Thu May 31 11:00:29 2012 30 maximenko.sk.tcom 13140 /home/FTP/СФСФЧСФ.xls b _ o r vols ftp 0 * i
10.190.42.43 - это я, у меня через файлзилу все работает. Остальные это те у которых траблы, что в принцепе и обозначает последняя i - incomplit

После того как я удалил все правила из фаервола, эти клиенты стали копировать файлы, но опять же через раз. Думаю это совпадение.

Помогите разобраться, я в замешательстве.

Приветы /smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />
пользователь, которого создал, входит в группу под которой работает proftpd?
Например у меня fpusers, при создании пользователя завожу в эту группу.
еще наверное ты создал папку для нового пользователя и сделал ли chown -R user:ftpusers /user_directory ??

p.s. че то кажется непонятно написал... /blush.gif\' class=\'bbc_emoticon\' alt=\':blush:\' />в общем дай ls -la /home/FTP

Цитата: B@F от 31 Мая 2012, 12:56Единственная разница то что тот пользователь подключается с другой подсети. Странно, маршруты прописаны, пинги идут, он логинется файлы и папки видят.

Есть такой функционал у протокола FTP - как режимы пассивный/активный. Это как раз касаемо фаервола:
В активном режиме обратное соединение инициирует сервер, в пассивном его инициирует клиент, а суть такова:
В FTP - есть управляющее соединение и соединение для передачи данных - вот собственно логин, списки папок и файлов
передаются по управляющему, сами файлы - по передающему, и если у клиента установлен активны режим, то он ждёт
инициации передающего соединения от сервера, а серверу его создать мешает фаервол.

Тут два пути решения проблемы
- на фаерволе разрешить фтп-серверу соединеия с 20 порта на  порты 1024-65535
- у клиента использовать только пассивный режим

Цитата: Zhan от 01 Июня 2012, 11:50Приветы /smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />
пользователь, которого создал, входит в группу под которой работает proftpd?
Например у меня fpusers, при создании пользователя завожу в эту группу.
еще наверное ты создал папку для нового пользователя и сделал ли chown -R user:ftpusers /user_directory ??

p.s. че то кажется непонятно написал... /blush.gif\' class=\'bbc_emoticon\' alt=\':blush:\' />

в общем дай

Код [Выделить] Expand

ls -la /home/FTP

Пользователь vols виртуальный в мускуле. Работает от имени ftpuser группа ftpgroup, права на папки соответствующие.

Цитата: НаРазДва от 01 Июня 2012, 14:40Есть такой функционал у протокола FTP - как режимы пассивный/активный. Это как раз касаемо фаервола:
В активном режиме обратное соединение инициирует сервер, в пассивном его инициирует клиент, а суть такова:
В FTP - есть управляющее соединение и соединение для передачи данных - вот собственно логин, списки папок и файлов
передаются по управляющему, сами файлы - по передающему, и если у клиента установлен активны режим, то он ждёт
инициации передающего соединения от сервера, а серверу его создать мешает фаервол.

Тут два пути решения проблемы
- на фаерволе разрешить фтп-серверу соединеия с 20 порта на  порты 1024-65535
- у клиента использовать только пассивный режим

Логично, но в моем фаерволе не было правила с портами ftp. Тем более, что с моего компа все работало успешно, а у тех у которых не работало использовались клиенты explorer и тоталкомандер, который по умолчанию использует авто режим, и какой он выбрал не понятно, но думаю тот же, что и эксплорер. Остается выяснить режим ftp у виндоваго explorera по умолчанию.

Цитата: B@F от 01 Июня 2012, 18:48Пользователь vols виртуальный в мускуле. Работает от имени ftpuser группа ftpgroup, права на папки соответствующие.



Логично, но в моем фаерволе не было правила с портами ftp. Тем более, что с моего компа все работало успешно, а у тех у которых не работало использовались клиенты explorer и тоталкомандер, который по умолчанию использует авто режим, и какой он выбрал не понятно, но думаю тот же, что и эксплорер. Остается выяснить режим ftp у виндоваго explorera по умолчанию.

Ну тогда дело только в режиме, для успокоения души нужно попробовать другие фтп-клиенты, из того же фара, тоатала. И уж потом
делать какие-то выводы.Надеюсь до тяжёлой артиллерии не дойдёт /smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />


http://www.windowsreference.com/internet-explorer/configure-internet-explorer-as-passive-ftp-client/ (http://www.windowsreference.com/internet-explorer/configure-internet-explorer-as-passive-ftp-client/)
про настройку фтп-режима у експлолера

А есть такой вариант, что где-то в сети стоит фаервол, который и рубит 20 порт? Если это так, то как его можно обнаружить?

Цитата: B@F от 02 Июня 2012, 08:06А есть такой вариант, что где-то в сети стоит фаервол, который и рубит 20 порт?

может и есть, на пути IP трафика может оказаться что угодно.

Цитата: B@F от 02 Июня 2012, 08:06Если это так, то как его можно обнаружить?

фаервол не иголка. Сурс у тебя есть, дистинейшин тоже есть, какие между ними устройства
и какая у них конфигурация - выяснять надо опытным путём.

Цитата: НаРазДва от 01 Июня 2012, 22:01Ну тогда дело только в режиме, для успокоения души нужно попробовать другие фтп-клиенты, из того же фара, тоатала. И уж потом
делать какие-то выводы.Надеюсь до тяжёлой артиллерии не дойдёт /smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />
http://www.windowsre...ive-ftp-client/ (http://www.windowsreference.com/internet-explorer/configure-internet-explorer-as-passive-ftp-client/)
про настройку фтп-режима у експлолера

Интересно у меня под кросовером у эксплорера по умолчанию стоит галка в пассивный режим. К сожалению узнать как это на винде смогу только если установлю виртуальную машину, чем я сейчас и занимаюсь.

Цитата: НаРазДва от 02 Июня 2012, 09:48фаервол не иголка. Сурс у тебя есть, дистинейшин тоже есть, какие между ними устройства
и какая у них конфигурация - выяснять надо опытным путём.

Как раз таки иголка. Источник и адрес назначения ни чего не говорят о маршруте и количестве хопов. Трейс показал 6 хопов, но я чую что если бы трейс показывал еще и L2 хопы то их было бы на много больше. А фаервол сейчас можно настроить да же на Л2 свичах без проблем. Что думаю и сделано, дабы ограничить броткаст трафик либо усложнить жизнь увеличив тем самым задержки. А вот где и кем большой вопрос. Я дал рекомендации качать тоталом в пассивном режиме, товарищи подтвердили, что в этом случаи все работает.

Цитата: B@F от 04 Июня 2012, 15:16А фаервол сейчас можно настроить да же на Л2 свичах без проблем.

mac-фильтрацию встречал, но чтобы фаервол на Л2??? Наверное я старею /smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />

Цитата: B@F от 04 Июня 2012, 15:16Я дал рекомендации качать тоталом в пассивном режиме, товарищи подтвердили, что в этом случаи все работает.

Ну как бы с этого и надо было начинать



Если есть физический доступ к железкам выяснить можно ВСЁ.