Регистрация Войти
Рейтинг:1
Pagani avatar Server

Невозможно открыть новый порт

флаг br
Pagani

Мой порт 21 (ftp) необъяснимо заблокирован.

Важные точки

  • Отключение ufw ничего не изменить, порт продолжает блокироваться
  • Проблема для любого нового порта, а не только 21
  • Я пытался удалить/переустановить ufw и сбросить настройки iptables.

телнет от местного

телнет 127.0.0.1 21
Пытаюсь 127.0.0.1...
Подключен к 127.0.0.1.
Экранирующий символ '^]'.
220 Сервер ProFTPD (установка ProFTPD по умолчанию) [::ffff:127.0.0.1]

телнет с удаленного

telnet: невозможно подключиться к удаленному хосту: время ожидания подключения истекло

Конфиг proftpd (неотредактированный)

# Это базовый файл конфигурации ProFTPD (переименуйте его в 
# 'proftpd.conf' для фактического использования. Он устанавливает один сервер
# и один анонимный логин. Предполагается, что у вас есть пользователь/группа
# "никто" и "ftp" для нормальной работы и анонимности.

ServerName "Установка ProFTPD по умолчанию"
Автономный тип сервера
Сервер по умолчанию включен

# Порт 21 является стандартным FTP-портом.
Порт 21

# Umask 022 — хороший стандартный umask для предотвращения появления новых каталогов и файлов.
# от того, чтобы быть группой и всем доступным для записи.
Умаск 022

# Для предотвращения DoS-атак установите максимальное количество дочерних процессов
# до 30. Если вам нужно разрешить более 30 одновременных подключений
# просто увеличьте это значение. Обратите внимание, что это ТОЛЬКО работает
# в автономном режиме, в режиме inetd вы должны использовать сервер inetd
# что позволяет ограничить максимальное количество процессов на сервис
# (например, xinetd).
Максимальное количество экземпляров 30

# Установите пользователя и группу, под которыми будет работать сервер.
Пользователь никто
группа

# Чтобы каждый FTP-пользователь был "заключен" (chroot) в свой дом
# каталог, раскомментируйте эту строку.
#Корень по умолчанию ~

# Обычно мы хотим, чтобы файлы можно было перезаписывать.
<Каталог />
  Разрешить перезапись
</Каталог>

# Базовая анонимная конфигурация, без каталогов загрузки. Если ты не
# хотите анонимных пользователей, просто удалите весь этот раздел <Anonymous>.
<Анонимный ~ftp>
  Пользовательский фтп
  Групповой фтп

  # Мы хотим, чтобы клиенты могли входить как "анонимно", так и "ftp"
  UserAlias ​​анонимный ftp

  # Ограничить максимальное количество анонимных входов в систему
  Максимальное количество клиентов 10

  # Мы хотим, чтобы «welcome.msg» отображалось при входе в систему, а «.message» отображалось
  # в каждом новом каталоге chdired.
  DisplayLogin welcome.msg
  #DisplayFirstChdir .сообщение

  # Ограничьте запись везде в анонимном chroot
  <Ограничение записи>
    Запретить все
  </Ограничение>
</анонимно>

lsof

судо lsof -я: 21
КОМАНДА PID ПОЛЬЗОВАТЕЛЬ ТИП FD УСТРОЙСТВО РАЗМЕР/ВЫКЛ НАЗВАНИЕ УЗЛА
proftpd 20611 никто 0u IPv6 15922523 0t0 TCP *:ftp (СЛУШАТЬ)

статус ufw

Статус: активен

К действию от
-- ------ ----
22 РАЗРЕШИТЬ ВСЕГДА
21 РАЗРЕШИТЬ ВСЕГДА
80 РАЗРЕШИТЬ ВСЕГДА
25 РАЗРЕШИТЬ ВСЕГДА
143 РАЗРЕШИТЬ ВСЕГДА
993 РАЗРЕШИТЬ ВСЕГДА
443 РАЗРЕШИТЬ ВСЕГДА
110 РАЗРЕШИТЬ ВСЕГДА
995 РАЗРЕШИТЬ ВСЕГДА

nmap (удаленно)

ГОСУДАРСТВЕННАЯ СЛУЖБА ПОРТА
22/tcp открыть ssh
80/tcp открыть http
110/tcp открыть pop3
143/tcp открыть imap
443/tcp открыть https
993/tcp открыть IMAP
995/tcp открыть pop3s

Iptables

Цепочка INPUT (политика DROP 11888 пакетов, 618090 байт)
    pkts bytes target prot opt ​​in out source target         
  471121 37446294 f2b-wordpress-admin TCP -- * * 0.0.0.0/0 0.0.0.0/0 многопортовые порты 80 443
     118 4839 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
16520344 3080320177 ufw-before-log-input все -- * * 0.0.0.0/0 0.0.0.0/0           
16520344 3080320177 ufw-до-ввода все -- * * 0.0.0.0/0 0.0.0.0/0           
  307430 16096817 ufw-после ввода все -- * * 0.0.0.0/0 0.0.0.0/0           
  268530 14088467 ufw-после-регистрации-ввод все -- * * 0.0.0.0/0 0.0.0.0/0           
  268530 14088467 ufw-reject-input все -- * * 0.0.0.0/0 0.0.0.0/0           
  268530 14088467 ufw-track-input все -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ПРИНЯТЬ все -- -d * 0.0.0.0/0 0.0.0.0/0 ctstate СВЯЗАННЫЙ helper match "ftp"

Цепочка FORWARD (политика DROP 0 пакетов, 0 байт)
    pkts bytes target prot opt ​​in out source target         
       0 0 ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 состояние СВЯЗАННО,УСТАНОВЛЕНО
       0 0 ПРИНЯТЬ все -- * * 10.8.0.0/24 0.0.0.0/0           
       0 0 ufw-before-loging-forward all -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ufw-after-log-forward all -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка OUTPUT (политика ACCEPT 0 пакетов, 0 байт)
    pkts bytes target prot opt ​​in out source target         
16344512 4396207242 ufw-before-loging-output all -- * * 0.0.0.0/0 0.0.0.0/0           
16344512 4396207242 ufw-до-вывода все -- * * 0.0.0.0/0 0.0.0.0/0           
  242395 16206787 ufw-после-вывода все -- * * 0.0.0.0/0 0.0.0.0/0           
  242395 16206787 ufw-вывод после регистрации все -- * * 0.0.0.0/0 0.0.0.0/0           
  242395 16206787 ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0           
  242395 16206787 ufw-track-output все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-before-log-input (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-log-output (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-log-forward (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-input (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
    1337 564957 ПРИНЯТЬ все -- lo * 0.0.0.0/0 0.0.0.0/0           
    2531 126728 ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 ctstate СВЯЗАННО,УСТАНОВЛЕНО
      24 2100 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
      24 2100 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
       0 0 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
       0 0 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
       0 0 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
     184 6296 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
   11880 617882 ufw-not-local все -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900
   11867 617206 ufw-пользовательский ввод все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-before-output (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
    1337 564957 ПРИНЯТЬ все -- * lo 0.0.0.0/0 0.0.0.0/0           
    1495 6600805 ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 ctstate СВЯЗАННО, УСТАНОВЛЕНО
       7 503 ufw-user-output все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-before-forward (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
       0 0 ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 ctstate СВЯЗАННО,УСТАНОВЛЕНО
       0 0 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
       0 0 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
       0 0 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
       0 0 ПРИНЯТЬ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
       0 0 ufw-user-forward all -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-after-input (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
      11 560 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
      30 1544 ufw-skip-to-policy-input TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:445
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
       0 0 ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE соответствует dst-type BROADCAST

Цепочка ufw-after-output (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-forward (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-log-input (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-log-output (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-log-forward (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-reject-input (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-reject-output (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-reject-forward (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-track-input (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-track-output (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
       0 0 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
       7 503 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW

Цепочка ufw-track-forward (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Сеть f2b-wordpress-admin (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
  470930 37411229 ВОЗВРАТ все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-log-deny (2 упоминания)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-log-allow (0 ссылок)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-skip-to-policy-input (7 ссылок)
    pkts bytes target prot opt ​​in out source target         
      41 2104 УДАЛИТЬ все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-skip-to-policy-output (0 ссылок)
    pkts bytes target prot opt ​​in out source target         
       0 0 ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-skip-to-policy-forward (0 ссылок)
    pkts bytes target prot opt ​​in out source target         
       0 0 УДАЛИТЬ все -- * * 0.0.0.0/0 0.0.0.0/0           

Сеть ufw-not-local (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
   11880 617882 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE соответствует dst-type LOCAL
       0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE соответствует dst-типу MULTICAST
       0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE соответствует dst-типу BROADCAST
       0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 предел: в среднем 3/мин пакет 10
       0 0 УДАЛИТЬ все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-user-input (1 ссылка)
    pkts bytes target prot opt ​​in out source target         
      24 1432 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:22
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
      25 1300 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:21
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:21
      10 464 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:80
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80
       1 52 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:143
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:143
      12 712 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:993
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:993
       0 0 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:25
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:25
      12 644 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:443
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:443
       1 52 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:110
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:110
       1 52 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:995
       0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:995

Цепочка ufw-user-output (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-forward (1 ссылка)
    pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-loging-input (0 ссылок)
    pkts bytes target prot opt ​​in out source target         
       0 0 ВОЗВРАТ все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-user-log-output (0 ссылок)
    pkts bytes target prot opt ​​in out source target         
       0 0 ВОЗВРАТ все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-user-loging-forward (0 ссылок)
    pkts bytes target prot opt ​​in out source target         
       0 0 ВОЗВРАТ все -- * * 0.0.0.0/0 0.0.0.0/0           

Цепочка ufw-user-limit (0 ссылок)
    pkts bytes target prot opt ​​in out source target         
       0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 отклонить-с icmp-порт-недоступен

Цепочка ufw-user-limit-accept (0 ссылок)
    pkts bytes target prot opt ​​in out source target         
       0 0 ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0

Редактировать:

TCP-дамп

tcpdump -ni любой порт 21

прослушивание на любом, ссылка типа LINUX_SLL (линукс сваренный), размер захвата 262144 байт
23:52:14.486431 IP ip.address.64155 > ip.address.21: Flags [S], seq 207845152, win 64240, параметры [mss 1460,nop,wscale 8,nop,nop,sackOK], длина 0
23:52:15.487331 IP ip.address.64155 > ip.address.21: Flags [S], seq 207845152, win 64240, параметры [mss 1460,nop,wscale 8,nop,nop,sackOK], длина 0
23:52:17.486879 IP ip.address.64155 > ip.address.21: Flags [S], seq 207845152, win 64240, параметры [mss 1460,nop,wscale 8,nop,nop,sackOK], длина 0
23:52:21.486947 IP ip.address.64155 > ip.address.21: Flags [S], seq 207845152, win 64240, параметры [mss 1460,nop,wscale 8,nop,nop,sackOK], длина 0
23:52:29.488538 IP ip.address.64155 > ip.address.21: Flags [S], seq 207845152, win 64240, параметры [mss 1460,nop,wscale 8,nop,nop,sackOK], длина 0

[ ... ]

15 пакетов захвачено
15 пакетов, полученных фильтром
0 пакетов отброшено ядром
49
0 + 0
флаг in
Zoredache
Запустите захват пакетов tcpdump -ni любой порт 21. сначала протестируйте с помощью вашего telnet, чтобы увидеть, как выглядит «хороший» вывод, а затем протестируйте с внешней системой. Если вы не видите никаких пакетов, то у вас есть какой-то внешний брандмауэр или система, блокирующая что-то.
0
Ответить
флаг in
Gerald Schneider
Скорее всего, брандмауэр за пределами вашего хоста. Поговорите с тем, кто отвечает за вашу сеть.
0
Ответить
Рейтинг:0
avatar Server
флаг ss
Jed Daniels

Вывод lsof показывает, что вы прослушиваете только IPv6, а не IPv4 для порта 21.

Видеть http://proftpd.org/docs/howto/IPv6.html для получения подробной информации о его перенастройке.

0 + 0
Pagani avatar
флаг br
Pagani
Спасибо за аванс, исправил. Однако проблема остается. Новый вывод: `КОМАНДА PID ПОЛЬЗОВАТЕЛЬ FD ТИП УСТРОЙСТВО РАЗМЕР/ВЫКЛ ИМЯ УЗЛА proftpd 28950 никто 0u IPv4 36743210 0t0 TCP *:ftp (СЛУШАТЬ)`
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.