-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hola On Tuesday 28 January 2003 16:50, Pepe Chalm�s wrote: > Hola! > > Envi� una pregunta parecida hace d�as, pero ahora el caso es ligeramente > diferente e intentar� documentarla mejor. > > > Tengo una Woody instalada recientemente y actualizada. He instalado > vsftpd, y no hab�a antes ning�n otro servidor de FTP puesto. El servidor > es 192.168.1.205 y el cliente desde el que hago pruebas es > 192.168.1.203 (se llaman "espai5" y "espai3", respectivamente). > > > El problema: > > > [EMAIL PROTECTED]:~$ ftp espai5 > Connected to espai5.ciber-espai.net. > 421 Service not available, remote server has closed connection > ftp> bye > > > > �Las causas? > > > En "espai5" quito todas las reglas del firewall y sigue dando el mismo > error. Por si acaso tengo permitida la entrada de paquetes nuevos por el > puerto 20 (TCP y UDP), pero est� claro que de momento eso no tiene ning�n > efecto porque, como he dicho, sin iptables de por medio la cosa sigue sin > ir... > > > Desde espai3 miro si los puertos 21 y 20 est�n abiertos en el servidor: > > > [EMAIL PROTECTED]:~$ /usr/sbin/tcptraceroute espai5 21 > Selected device eth1, address 192.168.1.203, port 1423 for outgoing packets > Tracing the path to espai5 (192.168.1.205) on TCP port 21, 30 hops max > 1 192.168.1.203 (192.168.1.203) [unknown] 0.455 ms > 192.168.1.205 (192.168.1.205) [open] 0.206 ms 0.202 ms > [EMAIL PROTECTED]:~$ /usr/sbin/tcptraceroute espai5 20 > Selected device eth1, address 192.168.1.203, port 1424 for outgoing packets > Tracing the path to espai5 (192.168.1.205) on TCP port 20, 30 hops max > 1 192.168.1.205 (192.168.1.205) [closed] 0.799 ms 0.597 ms 0.563 ms > > > > Miro en /etc/inetd.conf: > > ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/vsftpd > > > > Miro en /etc/hosts.allow: > > vsftpd: 192.168.1.0/24
Realmente la declaraci�n del demonio debe ser la de la primera l�nea de inetd.conf ( se corresponde con la entrada en /etc/services ) no est� muy claro en el man de hosts_access ( man 5 ) con lo que la entrada de vsftpd no es v�lida aunque el nombre del demonio sea esa, es como en las farmacias tcpd entiende de gen�ricos no de marcas, con lo que la entrada que habilita el ftp en la red local ser�a tal que: ftp: 192.168.1.0/24 O eso pensar�a yo a primera vista Como la regla que permite la conexi�n se aplicar�a al hipot�tico servicio vsftpd que no existe, no te habilita la conexi�n al ftp atrav�s de tcpd ( man tcpd ) > > > En hosts.deny tengo "ALL: ALL". AQU� EL FALLO! Si lo quito obtengo: Todo lo que no est� en hosts.allow est� prohibido, cuando quitas la regla lo que consigues es tener un bonito tcpd que ha dejado de cumplir una funci�n de wrapper listo y se ha convertido en un simple envoltorio. > > > [EMAIL PROTECTED]:~$ ftp espai5 > Connected to espai5.ciber-espai.net. > 220 Wellcome to ciber-espai.net's FTP service! > Name (espai5:pepe): pepe > 331 Please specify the password. > Password: > 230 Login successful. Have fun. > Remote system type is UNIX. > Using binary mode to transfer files. > ftp> bye > 221 Goodbye. > > > > El "bye" lo pongo yo ;) > > > > > Ahora miro si el puerto 20 est� abierto, porque me he quedado con la > duda: > > [EMAIL PROTECTED]:~$ /usr/sbin/tcptraceroute espai5 20 > Selected device eth1, address 192.168.1.203, port 1433 for outgoing packets > Tracing the path to espai5 (192.168.1.205) on TCP port 20, 30 hops max > 1 192.168.1.205 (192.168.1.205) [closed] 0.837 ms 0.549 ms 0.550 ms > > > Bien. Supongo que estar� disponible s�lo cuando vsftpd est� en marcha ( > ara�z de una petici�n el puerto 21). Realmente es algo normal, por un lado tcpd no gestiona las conexiones contra el puerto 20 ( es un envoltorio m�s que algo parecido a un firewall ) y estas conexiones no tienen sentido si una conexi�n de contro ( ftp puerto 21 ), no quiero enrollarme mucho, pero si tienes curiosidad el rfc de ftp es un buen lugar. > > > > La pregunta es: �qu� hab�a de malo teniendo "ALL: ALL" en > hosts.deny que me impidiera acceder a vsftpd? Os aseguro que en este > momento no caigo. Yo creo que eso que te cuento, pero s�lo lo creo, no estoy seguro al 100%. > > > > > Por otra parte, mi /etc/vsftpd.conf es: > > anonymous_enable=NO > local_enable=YES > write_enable=YES > local_umask=027 > dirmessage_enable=YES > xferlog_enable=YES > connect_from_port_20=YES > nopriv_user=vsftp > #adduser --system --no-create-home --shell /bin/false --disabled-login > vsftp ftpd_banner=Wellcome to ciber-espai.net's FTP service! > chroot_local_user=YES > > > > > > vsftpd es sencill�simo de instalar y permite "enjaular" con extrema > facilidad en su $HOME a quienes se conectan al servidor. Por eso no me > gustar�a tener que pasarme a proftpd a menos que vsftpd me d� un > disgusto. Repito la pregunta porque tengo el vicio de hablar demasiado > en mis correos: �qu� hab�a de malo teniendo "ALL: ALL" en > hosts.deny que me impidiera acceder a vsftpd? > > �Tendr�a que haber puesto algo m�s en mi hosts.allow? El *resto* de > entradas de hosts.allow son: > > ALL: 127.0.0.0/8 > swat: 192.168.1.0/24 > sshd: ALL Un apunte m�s, sshd no utiliza tcpd como envoltorio.... o no deber�a en cualquier caso.... > > > > > Muchas gracias a [EMAIL PROTECTED] > Un saludo Victor -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE+NraPEzqHF8R72ekRAryLAJ9tkco7vY2qIL1RoyWcqAVd/l+p/wCgktdT dJrpYkq9KNOT8hAEQlX33v8= =NBJd -----END PGP SIGNATURE-----
