一个困扰很久的FTP问题,各位大大帮忙,谢谢!

wushanyink

最近遇到一个奇怪的FTP问题,想了很久也想不出好的办法来解决,特来论坛求助,人多力量大,各位大大有碰到此类问题的帮忙指点一下,感激不尽.

首先,说下对这个问题做下简单的描述:
网络结构:
A机,也就是ftp client机器 IP地址 61.44.50.2
B机,也是ftp client机器,IP地址:192.168.1.23
C机,也就是ftp server机器,IP地址:192.168.50.2
A,B和C机中间隔了一台路由器以及一台防火墙,A和B机器在同一路由器下面,当然,路由器上没有做什么策略,可以忽略不计,所以图中没有标明.
A机和B机每天通过定时任务ftp一些对账文件到C机上,问题就在这里了.B机FTP C机,上传,下载,执行ls,dir等命令一切正常,但A机就有问题了.

问题描述:
1:A机直接FTP到C机上,输入用户名和密码可以正常登陆.
但当使用默认的被动模式上传文件的时候,提示ftp:connect:conection time out
关闭被动模式,使用主动模式的时候,提示500 unknown command.
2:A机FTP其他服务器,可以正常上传下载以及执行FTP命令.
3:B机FTP C机正常.B机与A机处于同一个路由器下,都要经过这道防火墙.

这里,有几点疑问:
1:既然B机与A机处于同一路由器下,路由器上也没有做任何策略,B机能够正常FTP C机,说明防火墙上的策略应该没有问题.的确防火墙上放开了FTP功能,任何客户端都可以通过这个防火墙FTP C机,既然B机可以,那么A机正常情况下应该也可以FTP C机
防火墙上策略如下:
access-list bank_acl extended permit tcp any host 192.168.50.8 eq 20
access-list bank_acl extended permit tcp any host 192.168.50.8 eq 21

2:A机无法FTP C机,说明A机可能有问题,但让客户测试的时候,发现A机可以正常FTP其他的服务器进行上传下载.这里又似乎说明是ftp server有问题了.但B机又可以正常FTP C机.比较矛盾.

这个问题困扰好多天了,麻烦各位大大帮忙看看到底是哪里的问题,多谢了.

源帖子地址:http://linux.chinaunix.net/bbs/thread-1138605-1-2.html

ssffzz1

查查A B C机是否自身有防火墙啊。

wushanyink

谢谢楼上朋友.

C机防火墙策略都是打开的

[root@JK2 ~]# iptables --list                                                                                                      
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

而且C机不是只提供对A机的FTP服务,其他很多银行的服务器也会FTP到这台机器上传文件,其他银行都正常,就这个(JS银行)不正常.

让对方工程师查了他们硬件防火墙,策略没有做任何限制,端口,IP全部放开.当然,我这一侧防火墙也全部放开了.对方ftp客户端防火墙也关了.他们这台机器同时也是FTP server,也有很多其他机器会FTP到他们这台机器,均正常..

所以,奇怪的现象就是:
1  其他银行ftp到我这边的接口机,上传,下载,列目录等都很正常,就JS银行不正常.
2  同时也有很多其他服务器也会ftp到JS银行这台机器,这台机器也会FTP到除了我这边接口机之外的其他机器,都正常,唯独到我这边不正常.而且我这边接口机ftp到js银行接口机,出现和js银行ftp到我这边一样的问题.
3  从JS银行接口机到我这边接口机,要绕过2道防火墙,但这2道防火墙的策略都是permit ip any any..应该不存在拒绝或丢弃数据包的问题.

ssffzz1

给我AB 两机器在ftp命令行下面主被动模式的测试结果。

wushanyink

如图,默认被动模式,连接被拒绝.
主动模式,连接超时 -.-!!!

wushanyink

我连对方:
[root@JK2 ~]# ftp 15.44.6.60
Connected to 15.44.6.60.
220 (vsFTPd 2.0.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (15.44.6.60:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> status   
Connected to 15.44.6.60.
Control Channel Protection Level: clear
Data Channel Protection Level: clear
Passive mode on
Mode: stream; Type: binary; Form: non-print; Structure: file
Store unique: off; Receive unique: off
Case: off; CR stripping: on
Ntrans: off
Nmap: off
No proxy connection.
Hash mark printing: off; Use of PORT cmds: on
Verbose: on; Bell: off; Prompting: on; Globbing: on
ftp> ls
227 Entering Passive Mode (15,44,6,60,28,236)
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 May 24  2006 pub
226 Directory send OK.
ftp> ls

被动模式,执行ls命令,无响应...


改为主动模式:
[cy01@JK2 ~]$ ftp 15.44.6.60
Connected to 15.44.6.60.
220 (vsFTPd 2.0.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (15.44.6.60:cy01): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pass
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
500 Unknown command.
ftp> ls
500 Unknown command.
ftp: bind: Address already in use

汗...

ssffzz1

5楼和6楼是同一台机器吗？

wushanyink

不是的,5楼的是js银行那边的机器ftp我这边的接口机
6楼是我这边的接口机ftpjs银行的机器..

2边都是一样的问题..

wushanyink

原帖由 sdasdf 于 2009-10-10 14:27 发表
A怎么是公网地址，经过公网吗
A之前可以用吗，还是突然有天不能用的？

重启试试

网路结构图是下面这个样子的,2个网段是不一样的,中间有路由器,不过网络是通的..ping什么的都没问题的..

之前正常,以前正常的时候BOSS侧的防火墙策略是permit ip any any,后来客户考虑到安全性,对策略做了细化,于是按照客户的要求重新做了策略,该放的就放,其他的数据包就都deny了..结果就出现现在这个问题..

现在把防火墙策略恢复到permit any状态也不行了..


重启BOSS侧机器还是js银行侧机器?

[ 本帖最后由 wushanyink 于 2009-10-10 14:55 编辑 ]

ssffzz1

也就是说现在A访问C的FTP SERVER是不行的。 哪么LZ你说的那个可以访问的B又是那个呢？？？