Решено: настройка vsftpd на Centos 6

[ITPS]

Настроил себе vsftpd по локалхосту захожу без проблем что анонимус что локальный юзер, а вот по лану нифига. Вообще не пойму что не пускает.

мои настройки

getsebool -a | grep ftp

Код: Выделить всё

allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> on
ftpd_connect_db --> off
httpd_enable_ftp_server --> on
tftp_anon_write --> on

netstat -lpn --inet

Код: Выделить всё

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1607/rpcbind
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      1901/vsftpd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1890/sshd
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      1746/cupsd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1977/master
tcp        0      0 0.0.0.0:40618               0.0.0.0:*                   LISTEN      1625/rpc.statd
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               1728/avahi-daemon
udp        0      0 0.0.0.0:111                 0.0.0.0:*                               1607/rpcbind
udp        0      0 0.0.0.0:631                 0.0.0.0:*                               1746/cupsd
udp        0      0 0.0.0.0:37386               0.0.0.0:*                               1625/rpc.statd
udp        0      0 0.0.0.0:934                 0.0.0.0:*                               1607/rpcbind
udp        0      0 0.0.0.0:52661               0.0.0.0:*                               1728/avahi-daemon
udp        0      0 0.0.0.0:953                 0.0.0.0:*                               1625/rpc.statd
udp        0      0 0.0.0.0:68                  0.0.0.0:*                               1484/dhclient

route

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.42.0.0       *               255.255.0.0     U     0      0        0 eth0
link-local      *               255.255.0.0     U     1002   0        0 eth0
default         10.42.0.1       0.0.0.0         UG    0      0        0 eth0

iptables-save

Код: Выделить всё

# Generated by iptables-save v1.4.7 on Mon Dec 26 17:27:20 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:1472]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Dec 26 17:27:20 2011

[oper777]

Код: Выделить всё

# Generated by iptables-save v1.4.7 on Mon Dec 26 17:27:20 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:1472]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Dec 26 17:27:20 2011

Правило с REJECT выше правила, разрешающего подключения на 21 порт. Надо поменять местами. У вас пакеты сначала отбрасываются, потом проверяются на предмет 21-го порта.
И в /etc/sysconfig/iptables-config в директиву IPTABLES_MODULES надо добавить nf_conntrack_ftp
Т.е.
IPTABLES_MODULES="nf_conntrack_ftp"

[ITPS]

Правило с REJECT выше правила, разрешающего подключения на 21 порт. Надо поменять местами. У вас пакеты сначала отбрасываются, потом проверяются на предмет 21-го порта.
И в /etc/sysconfig/iptables-config в директиву IPTABLES_MODULES надо добавить nf_conntrack_ftp
Т.е.
IPTABLES_MODULES="nf_conntrack_ftp"

вчера добавил -m state --state NEW в правило -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT, чево оказалось достаточно, но всеравно благодарен.