vsftp的被动模式和上传下载权限问题

huopin

问题一，不锁定目录可以下载，无法上传，锁定目录后只能浏览，不能下载也不能上传；
问题二，被动端口配置无效

1. anonymous_enable=NO
   
2. local_enable=YES
   
3. 
   
4. write_enable=YES
   
5. 
   
6. local_umask=022
   
7. dirmessage_enable=YES
   
8. xferlog_enable=YES
   
9. connect_from_port_20=NO
   
10. xferlog_std_format=YES
    
11. chroot_local_user=YES
    
12. chroot_list_enable=YES
    
13. chroot_list_file=/etc/vsftpd/chroot_list
    
14. pam_service_name=vsftpd
    
15. userlist_enable=YES
    
16. listen=YES
    
17. tcp_wrappers=YES
    
18. pasv_enable=YES
    
19. 
    
20. pasv_min_port=5000   ##锁定了端口范围，但下载的时候看到的使用端口仍然是高端端口。
    
21. pasv_min_port=6000
    
22. 
    
23. local_root=/download ##不加这行的时候，可以下载，不能上传；加了这行之后，下载上传的权限都没了。
    

复制代码

iptables规则

1. 
   
2. modprobe ip_nat_ftp
   
3. modprobe ip_conntrack_ftp
   
4. $ipt -P INPUT DROP
   
5. $ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
6. $ipt -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT
   
7. $ipt -A INPUT -p icmp --icmp-type 8 -j ACCEPT
   
8. $ipt -A INPUT -p tcp -m state --state NEW --dport 21 -j ACCEPT
   
9. 
   

复制代码

附图是被动端口的截图。

世界因我而精彩

你都使用iptables的连接追踪模块了，为何还要限制端口范围呢。

huopin

原帖由 世界因我而精彩 于 2008-10-29 23:35 发表
你都使用iptables的连接追踪模块了，为何还要限制端口范围呢。

因为我的linux外面还有一个防火墙，那个防火墙上有端口限制。被动端口不是我指定的范围，跟这个追踪模块有关么？