Решено: vsftpd работает (но удаленные машины не могут зайти)

[skala80]

добрый день:
на маршрутизаторе поднят vsftpd, локальные пользователи заходят, удаленные нет
в iptables прописал: iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
вот конфиг:

listen=YES
anonymous_enable=YES
local_enable=NO
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
idle_session_timeout=60
data_connection_timeout=60
chroot_local_user=YES
ls_recurse_enable=NO
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
hide_ids=YES
anon_max_rate=1024000
delay_failed_login=5
max_clients=13
max_login_fails=2
pasv_min_port=50000
pasv_max_port=60000
xferlog_enable=YES
passwd_chroot_enable=YES

: vsftpd restart выдает ошибку 500 OOPS: vsftpd: cannot open config file:restart

: vsftpd /etc/vsftpd.conf выдает ошибку 500 OOPS: could not bind listening IPv4 socket

: netstat -lnp|grep ':21'
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 2374/vsftpd
udp6 0 0 fe80::216:76ff:fe02:123 :::* 3674/ntpd
конфиг inetd.conf пуст, vsftpd был запущен через vsftpd &

вопрос:
что изменить, где рыть и сделать простенький анонимный доступ на фтп-ресурс?

[pelmen]

на маршрутизаторе поднят vsftpd, локальные пользователи заходят, удаленные нет

Локальные, это которые в локальной сети или которые системные на компьютере?

в iptables прописал: iptables -A INPUT -p tcp --dport 21 -j ACCEPT

http://ubuntologia.ru/forum/viewtopic.php?f=93&t=1258

...
Раньше я думал, что для соединения по протоколу FTP необходимо два tcp порта: 20 и 21. Как оказалось, не все так просто. При соединении на этих портах сервер и клиентская машина "созваниваются" и договариваются, на каком порту они будут работать дальше. То есть мы этого не можем знать заранее. Как же быть? У пакетов могут быть различные состояния, которые и могут нам помочь.
NEW. Признак NEW сообщает о том, что пакет является первым для данного соединения. Это означает, что это первый пакет в данном соединении, который увидел модуль трассировщика. Например если получен SYN пакет являющийся первым пакетом для данного соединения, то он получит статус NEW. Однако, пакет может и не быть SYN пакетом и тем не менее получить статус NEW. Это может породить определенные проблемы в отдельных случаях, но может оказаться и весьма полезным, например когда желательно "подхватить" соединения, "потерянные" другими брандмауэрами или в случаях, когда таймаут соединения уже истек, но само соединение не было закрыто.
RELATED. Состояние RELATED одно из самых "хитрых". Соединение получает статус RELATED если оно связано с другим соединением, имеющим признак ESTABLISHED. Это означает, что соединение получает признак RELATED тогда, когда оно инициировано из уже установленного соединения, имеющего признак ESTABLISHED. Хорошим примером соединения, которое может рассматриваться как RELATED, является соединение FTP-data, которое является связанным с портом FTP control, а так же DCC соединение, запущенное из IRC. Обратите внимание на то, что большинство протоколов TCP и некоторые из протоколов UDP весьма сложны и передают информацию о соединении через область данных TCP или UDP пакетов и поэтому требуют наличия специальных вспомогательных модулей для корректной работы.
ESTABLISHED. Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. Схема установки состояния ESTABLISHED достаточна проста для понимания. Единственное требование, предъявляемое к соединению, заключается в том, что для перехода в состояние ESTABLISHED необходимо чтобы узел сети передал пакет и получил на него ответ от другого узла (хоста). После получения ответа состояние соединения NEW или RELATED будет изменено на ESTABLISHED.
INVALID. Признак INVALID говорит о том, что пакет не может быть идентифицирован и поэтому не может иметь определенного статуса. Это может происходить по разным причинам, например при нехватке памяти или при получении ICMP-сообщения об ошибке, которое не соответствует какому либо известному соединению. Наверное наилучшим вариантом было бы применение действия DROP к таким пакетам.
RELATED и ESTABLISHED - это как раз наш случай. Соединение на 20 и 21 портах tcp протокола, разрешенное нашим файерволом, инициировало новое соединение на других портах. Команды, разрешающие трафик, подходящий под эти критерии, будут такими:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
...

[skala80]

пользователям в локальной сети
в iptables поставил правила:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

не помогло

[skala80]

ну что, никто не умеет что ли? есть же знающие линуксоиды на форуме ......

[IMB]

Надеюсь Вы уже имеющиеся на этом форуме материалы - первый, второй. И не забываем про поиск поиск по форуму.
Поверьте, Вы не первый.

[skala80]

Надеюсь Вы уже имеющиеся на этом форуме материалы - первый, второй. И не забываем про поиск поиск по форуму.
Поверьте, Вы не первый.

Безусловно. Уже перепроверил на 10 раз .....

[IMB]

: vsftpd restart выдает ошибку 500 OOPS: vsftpd: cannot open config file:restart
: vsftpd /etc/vsftpd.conf выдает ошибку 500 OOPS: could not bind listening IPv4 socket
...................................
конфиг inetd.conf пуст, vsftpd был запущен через vsftpd &

Если Вы запускаете не через стартовые скрипты неплохо бы указат путь до конфига, насколько я помню ключ -c.
Если же конфиг точно лежит где ищется демоном приведите вывод ls -l /full/path/to/vsftpd.conf.

[skala80]

конфиг inetd.conf пуст, vsftpd был запущен через vsftpd &
Если Вы запускаете не через стартовые скрипты неплохо бы указат путь до конфига, насколько я помню ключ -c.
Если же конфиг точно лежит где ищется демоном приведите вывод ls -l /full/path/to/vsftpd.conf.

путь до конфига указывается так: vsftpd <путь к конфигу>, выдает ошибку выше

вывод:
ls: /full/path/to/vsftpd.conf: Нет такого файла или каталога

[IMB]

вывод:
ls: /full/path/to/vsftpd.conf: Нет такого файла или каталога

Ну а заменить /full/path/to/vsftpd.conf на реальный путь?

[skala80]

вывод:
ls: /full/path/to/vsftpd.conf: Нет такого файла или каталога

Ну а заменить /full/path/to/vsftpd.conf на реальный путь?

так реальный путь и задан, который вы указываете - не найден
что имеете ввиду?

[kosteel]

добавьте в конфиг строку "background = yes"

[IMB]

так реальный путь и задан, который вы указываете - не найден
что имеете ввиду?

Где у Вас находится конфиг? Предположим /etc/vsftpd.conf. Покажите вывод ls -l etc/vsftpd.conf.

[pelmen]

Делаем
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
Проверяем. Если не работает, то
iptables -t nat -nvL
выводим сюда. А если заработало, то делаем так
iptables -P OUTPUT DROP
Проверяем. Если все еще работает, значит проблема в правилах INPUT, делаем
iptables -nvL INPUT
и выводим сюда
А если перестало работать, значит проблема в правилах OUTPUT, делаем
iptables -nvL OUTPUT
и выводим сюда

[skala80]

Делаем
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
Проверяем. Если не работает, то
iptables -t nat -nvL
выводим сюда. А если заработало, то делаем так
iptables -P OUTPUT DROP
Проверяем. Если все еще работает, значит проблема в правилах INPUT, делаем
iptables -nvL INPUT
и выводим сюда
А если перестало работать, значит проблема в правилах OUTPUT, делаем
iptables -nvL OUTPUT
и выводим сюда

вобщем, куда-то мои посты подевали, ну да ладно, помощь действительно нужна, после iptables -P ничего не изменилось.
хаместо vsftpd поставил proftp
вот листинг iptables -L:
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

[skala80]

Вобщем, поставил на машину в локальной сети proftpd, пробросил порты и фсе заработало.
Спасибо фсем, кто откликнулся и модератору за удаление моих постов.

эт не я, на сервере были проблемы: по поводу неработоспособности форума
Л.Б.