Добрый день. Казалось бы, достаточно тривиальный вопрос: как установить ftp сервер.
Но и здесь нашлись грабли:))). А нашлись они в следующем месте : ftp сервер был необходим исключительно для замера пропускной способности сети между интерфейсом сервера уходящим в up-link и замеряющим. Поэтому варианты с поднятием ftp на виртуалке в DMZ и дальнейший проброс портов на неё исключался. Нужен был исключительно боевой сервер.
И вот тут то и начались грабли . FTP категорически не хотел выполнять комманду LIST в пассивном режиме. Кто-то скажет - для разовой операции замера скорости всё равно, можно использовать и активный режим ftp. Но это, не Debian way:) . Всё должно просто работать.
И так... Устанавливаем vsftpd на Debian 6 squeeze.
$ sudo apt-get install vsftpd
Устанавливаем vsftpd
Приводим конфиг к виду :
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
pasv_enable=YES
pasv_min_port=50200
pasv_max_port=50299
Как известно, для работы FTP-сервера в пассивном режиме нужны следующие порты:
1) port #21
2) random port #>1024.
Мы установили для пассивного режима диапазон портов от 50200-50299. Осталось настроить фаерволл.
Фаервол(если у кого не был настроен) :
$ sudo iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
Разрешаем все установленные соединения.
$ sudo iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 22 \
-j ACCEPT
Разрешаем ssh . Интерфейсы, порты и адреса добавить по вкусу.
$ sudo iptables -A INPUT -p tcp -m state --state NEW -m multiport --dport 21,50200:50299 \
-j ACCEPT
Разрешаем устанавливать соединение по ftp, в т.ч. в пассивном режиме.
$ sudo iptables -P INPUT DROP
Запрещаем всё, что не разрешено.
