vsftp的被動模式和上傳下載許可權問題
問題一,不鎖定目錄可以下載,無法上傳,鎖定目錄后只能瀏覽,不能下載也不能上傳;
問題二,被動埠配置無效
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=NO
xferlog_std_format=YES
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
pam_service_name=vsftpd
userlist_enable=YES
listen=YES
tcp_wrappers=YES
pasv_enable=YES
pasv_min_port=5000 ##鎖定了埠範圍,但下載的時候看到的使用埠仍然是高端埠。
pasv_min_port=6000
local_root=/download ##不加這行的時候,可以下載,不能上傳;加了這行之後,下載上傳的許可權都沒了。
iptables規則
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
$ipt -P INPUT DROP
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type 8 -j ACCEPT
$ipt -A INPUT -p tcp -m state --state NEW --dport 21 -j ACCEPT
附圖是被動埠的截圖。
《解決方案》
你都使用iptables的連接追蹤模塊了,為何還要限制埠範圍呢。
《解決方案》
原帖由 世界因我而精彩 於 2008-10-29 23:35 發表 http://linux.chinaunix.net/bbs/images/common/back.gif
你都使用iptables的連接追蹤模塊了,為何還要限制埠範圍呢。
因為我的linux外面還有一個防火牆,那個防火牆上有埠限制。被動埠不是我指定的範圍,跟這個追蹤模塊有關么?
