putty.exe -2 User@RemoteIP -L 77:192.168.0.7:21 -i id_rsa.ppk -pw mypassword
Команда: LIST
Ответ: 150 Opening data channel for directory list.
Ответ: 425 Can't open data connection.
Ошибка: Не могу получить список каталогов!
Видать на сервере чего-то надо подкрутить, а вот чего в толк не возьму.
Я бы начал с настроек passive mode, default тут может не работать.
(000102) 09.02.2009 21:23:56 - (not logged in) (192.168.0.1)> Connected, sending welcome message...
(000102) 09.02.2009 21:23:56 - (not logged in) (192.168.0.1)> 220-FileZilla Server version 0.9.30 beta
(000102) 09.02.2009 21:23:56 - (not logged in) (192.168.0.1)> 220-written by Tim Kosse (Tim.Kosse@gmx.de)
(000102) 09.02.2009 21:23:56 - (not logged in) (192.168.0.1)> 220 Please visit http://sourceforge.net/projects/filezilla/
(000102) 09.02.2009 21:23:56 - (not logged in) (192.168.0.1)> USER docs
(000102) 09.02.2009 21:23:56 - (not logged in) (192.168.0.1)> 331 Password required for docs
(000102) 09.02.2009 21:23:56 - (not logged in) (192.168.0.1)> PASS ******
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 230 Logged on
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> SYST
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 215 UNIX emulated by FileZilla
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> FEAT
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 211-Features:
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> MDTM
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> REST STREAM
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> SIZE
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> MLST type*;size*;modify*;
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> MLSD
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> UTF8
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> CLNT
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> MFMT
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 211 End
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> PWD
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 257 "/" is current directory.
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> TYPE I
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 200 Type set to I
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> PORT 127,0,0,1,14,96
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 200 Port command successful
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> LIST
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> 150 Opening data channel for directory list.
(000102) 09.02.2009 21:23:57 - docs (192.168.0.1)> 425 Can't open data connection.
я в этих пассивах и активах ничего не смыслю
) Я тоже не специалист.
Я наслышан о геморроях с FTP, поэтому если не трудно, давай начнем вместе, ибо я в этих пассивах и активах ничего не смыслю.
(000102) 09.02.2009 21:23:56 - docs (192.168.0.1)> PORT 127,0,0,1,14,96
Только вот в чем они?Ну сказано ж - не идет передача через вспомогательные порты. У тебя клиент в активном режиме, кстати, что не рекомендуется, - в логе нет PASV. Т.е. именно клиент пытается навязать, какие порты использовать. Попробуй хотя бы начать с того, чтоб клиента обязать работать в пассивном режиме. И опять глянь в лог.
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> PORT 89,113,74,*,172,255
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> 200 Port command successful
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> LIST
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> 150 Opening data channel for directory list.
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> 226 Transfer OK
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> PASV
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 227 Entering Passive Mode (192,168,0,7,4,50)
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> LIST
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 150 Connection accepted
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 226 Transfer OK
(000004) 10.02.2009 9:14:53 - docs (192.168.0.1)> PORT 127,0,0,1,19,176
(000004) 10.02.2009 9:14:53 - docs (192.168.0.1)> 200 Port command successful
(000004) 10.02.2009 9:14:53 - docs (192.168.0.1)> LIST
(000004) 10.02.2009 9:14:53 - docs (192.168.0.1)> 150 Opening data channel for directory list.
(000004) 10.02.2009 9:14:54 - docs (192.168.0.1)> 425 Can't open data connection.
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> PASV
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> 227 Entering Passive Mode (192,168,0,7,4,49)
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> LIST
(000003) 10.02.2009 9:14:40 - docs (192.168.0.1)> 425 Can't open data connection.
Туннели дают возможность объединить территориально разрозненные сети для удобства управления и обеспечения безопасности доступа ко внутренним ресурсам. Правда, есть одно ограничение. Туннелинг можно использовать только в том случае, когда между клиентом и сервером создается одно TCP-соединение. Например, для этого вполне подходят протоколы почтовых серверов SMTP, IMAP и POP3, web-трафик, но FTP — нет.
Этот метод можно использовать для любого числа небезопасных протоколов, таких как SMTP, POP3, FTP, и так далее.
myhost$ ssh -L 1234:ftphost.example.com:21 ssh-server
Выполнив эту команду вы войдете на компьютер "ftphost", а порт "myhost":1234 будет перенаправлен с использованием шифрования на "ftphost":21.
Теперь в другом окне на компьютере "myhost", можете запускать клиента ftp следующим образом:
myhost$ ftp localhost 1234
220 ftphost FTP server (Foonix 08/15) ready.
Name: (myhost:yourname):
331 Password required for yourname
Password:
230 User yourname logged in.
Это работает в том случае если удаленный ftp сервер позволяет выполнять PORT команды с указанием адреса host'а отличным от того с которого поступают команды[типа proxy] и если ftp-client тоже использует PORT. Это работает для "vanilla" Unix ftp клиентов и серверов, но может не работать для продвинутых FTPD-серверов, таких как wu-ftpd.
Только вот когда я тот же 21 порт пробрасываю через SSH-туннель (-L 5555:192.168.0.7:21) и захожу на сервер по localhost:5555, работать ничего не хочет, ни в каких режимах.
PORT 127,0,0,1,19,176
ssh, mysql используют один порт для двустороннего обменаПробовал я пробрасывать два порта (20 и 21) - тот же результат.
ftp же два.
да потому чтоНо это в активном режиме. А в пассивном?
Цитата:
PORT 127,0,0,1,19,176
говорит серверу коннектиться самому на себя?
Пробовал я пробрасывать два порта (20 и 21) - тот же результат.
Но это в активном режиме. А в пассивном?
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> PASV
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> 227 Entering Passive Mode (192,168,0,7,4,49)
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> LIST
(000003) 10.02.2009 9:14:40 - docs (192.168.0.1)> 425 Can't open data connection.
ну почитайте принцип передачи,
Туннели дают возможность объединить территориально разрозненные сети для удобства управления и обеспечения безопасности доступа ко внутренним ресурсам. Правда, есть одно ограничение. Туннелинг можно использовать только в том случае, когда между клиентом и сервером создается одно TCP-соединение. Например, для этого вполне подходят протоколы почтовых серверов SMTP, IMAP и POP3, web-трафик, но FTP — нет.
Это работает в том случае если удаленный ftp сервер позволяет выполнять PORT команды с указанием адреса host'а отличным от того с которого поступают команды[типа proxy] и если ftp-client тоже использует PORT. Это работает для "vanilla" Unix ftp клиентов и серверов, но может не работать для продвинутых FTPD-серверов, таких как wu-ftpd.
Читаю вслух:
Ну так сколько же соединений создается между клиентом и сервером FTP?
Это работает в том случае если удаленный ftp сервер позволяет выполнять PORT команды с указанием адреса
сказано.. не может подключиться к вам на порт 4*256+49
а почему - ну не знаю.. может вы в другой подсети и он не знает где 192.168.0.7 и как туда попасть.
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> 227 Entering Passive Mode (192,168,0,7,4,49)
(000003) 10.02.2009 9:14:30 - docs (192.168.0.1)> LIST
(000003) 10.02.2009 9:14:40 - docs (192.168.0.1)> 425 Can't open data connection.
Если действительно больше одного, которые туннель не поддерживает, тогда чего тут логи разглядывать - пустое это все.
чей лог? клиента? значит ...
в пассивном режиме должно работать. если ничего не мешает ftp серверу слушать порты и роутер настроен на проброс именно этих портов. именно для этой цели в настройках ftp сервера указывается диапазон портов, которые можно использовать для пассивного ftp режима и именно этот весь диапазон и надо пробрасывать на роутере.
Чего то ты переборщил насчет проброски на роутере всего диапазона портов.
Это к примеру порты от 50000 до 60000 нужно пробрасывать?
Чего ж это будет? Проходной двор, а не роутер.
Q: Which ports do I need to open on the router?
A: The router will need to forward port 21, and the entire chosen port range. This is why it is a good idea to choose a port range not used by any other applications, or they will be visible from the Internet. Opening up such a large range of ports could be seen as a security issue, but if no other programs listen on the ports, it is only a problem, if a trojan gets inside - and then you are in trouble anyway. Opening up for a single wrong port (like 445) is far more dangerous than opening up an entire port range of "unused" ports. Also, a personal firewall on the server box can be configured to allow such incomming connections only when the port is owned by the FTP server.
Q: What configuration is needed in the FTP server program itself?
A: Two things: First, at passive port range must be selected - if possible. This is possible for Cerberus (Configuration/Server Manager/Advanced/PASV Port Range). I recommend choosing a range of at least several hundred ports starting on 1025 or above, and also to choose a range not used by other programs. To find that out, try "netstat -an" from a command prompt or use TcpView from Sysinternals. Note that when running the FTP server, the port range will not show up in these applications as in use. The server will not allocate a port from the port range until it actually needs one.
Second, you must let the FTP server know the external ip-address (Configuration/Server Manager/Interface Options/PASV Options). You probably use a router, giving you a privileged ip-address like 192.168.*.*, but the server needs to know what it looks like seen from the client, so it must be aware of the ip-address used by the router. However, some routers are capable of recognizing the PORT command, and will automatically substitute the privileged ip-address with the real one, before sending the command out to the client. Cerberus has several ways of handling this issue, you will have to figure out which one suits your setup best.
А я когда на роутере пробрасывал ТОЛЬКО!!! 21 порт на локальный адрес сервера - из интернета все работало, и в пассивном и в активном режимах.
Твои замечания имеют смысл только в том случае если тебе известно, что доступ по SSH-туннелю к FTP серверу возможен в принципе и тебе известно что для этого нужно.
в пассивном не будет,
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> PASV
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 227 Entering Passive Mode (192,168,0,7,4,50)
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> LIST
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 150 Connection accepted
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 226 Transfer OK
возможен.. но в пассивном режиме
Что значит не будет, когда я заходил и приведенные мной логи сервера тому подтверждение.
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> PORT 89,113,74,*,172,255Пассивный режим.
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> 200 Port command successful
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> LIST
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> 150 Opening data channel for directory list.
(000009) 10.02.2009 9:20:15 - docs (89.113.74.*)> 226 Transfer OK
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> PASV
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 227 Entering Passive Mode (192,168,0,7,4,50)
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> LIST
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 150 Connection accepted
(000010) 10.02.2009 9:20:22 - docs (89.113.74.*)> 226 Transfer OK
а как вы это проверяли? находились внутри сети?
Я тебе не сказки рассказываю, а привожу свои собственные примеры с доказательствами.
Активный режим.
Пассивный режим.
192.168.0.7
но, устал уже повторять, если просто сторонняя система, подключаясь к внешнему IP роутера, получит такой адрес, то она не будет знать куда подключаться.
Это не сторонняя система получает такой адрес, а сам роутер, на котором проброшенн 21 порт на этот самый адрес.
А он уже подключается к внешнему IP клиента.
Меня интересует ТОЛЬКО!!! вопрос безопасного подключения к FTP-серверу по SSH-туннелю.
создайте туннель, но не на 21 порт
А кто ж тогда стучаться на FTP-сервер будет?
Он же прослушивает именно 21 порт.
(000016) 11.02.2009 11:37:55 - docs (192.168.0.7)> PASVА это из интернета:
(000016) 11.02.2009 11:37:55 - docs (192.168.0.7)> 227 Entering Passive Mode (192,168,0,7,17,102)
(000016) 11.02.2009 11:37:55 - docs (192.168.0.7)> LIST
(000016) 11.02.2009 11:37:55 - docs (192.168.0.7)> 150 Connection accepted
(000016) 11.02.2009 11:37:55 - docs (192.168.0.7)> 226 Transfer OK
(000018) 11.02.2009 11:43:18 - docs (192.168.0.7)> PASV
(000018) 11.02.2009 11:43:18 - docs (192.168.0.7)> 227 Entering Passive Mode (192,168,0,7,17,122)
(000018) 11.02.2009 11:43:18 - docs (192.168.0.7)> LIST
(000018) 11.02.2009 11:43:29 - docs (192.168.0.7)> 425 Can't open data connection.
А это из интернета:
Уж больно не хочется заводить еще и проски-сервер.
Хотелось бы узнать - в чем же все таки разница между этими туннелями?
сделайте как описал постом выше.
когда же вы укажите ssh туннель как socks проксю, то и пассивные соединения пройдут.
И как это я могу клиенту указать ssh туннель как socks проксю?
Ну и какой мне порт и на какой адрес пробрасывать?
адрес - как и раньше.. порт - никакого.
в настройках ftp клиента.. у flashfxp есть
Это что-то из области фантастики.
Туннель - это проброска порта на адрес!
А пробросить "ничего" на адрес нельзя!!!
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051
Предыдущая тема: VirtualDub