为什么vsftpd经常提示port及pasv要设定.

gydoesit

为什么vsftpd经常提示port及pasv要设定

windows命令行ftp登录,
331 Please specify the password.
Password:
230 Login successful.
ftp>; ls
500 Illegal PORT command.
425 Use PORT or PASV first.
我不知道如何在命令行设定port或pasv,反正用ie也不能访问.((((那我用flashget的站点资源浏览器,也不行,如下:
Wed Dec 29 16:51:55 2004 220 (vsFTPd 2.0.1)
Wed Dec 29 16:51:55 2004 USER anonymous
Wed Dec 29 16:51:55 2004 331 Please specify the password.
Wed Dec 29 16:51:55 2004 PASS ********
Wed Dec 29 16:51:55 2004 230 Login successful.
Wed Dec 29 16:51:55 2004 成功登录
Wed Dec 29 16:51:55 2004 REST 100
Wed Dec 29 16:51:56 2004 350 Restart position accepted (100).
Wed Dec 29 16:51:56 2004 该站点支持断点续传.
Wed Dec 29 16:51:56 2004 REST 0
Wed Dec 29 16:51:56 2004 350 Restart position accepted (0).
Wed Dec 29 16:51:56 2004 PWD
Wed Dec 29 16:51:56 2004 257 "/"
Wed Dec 29 16:51:56 2004 TYPE A
Wed Dec 29 16:51:56 2004 200 Switching to ASCII mode.
Wed Dec 29 16:51:56 2004 PASV
Wed Dec 29 16:51:56 2004 227 Entering Passive Mode (218,6,155,40,249,49)
Wed Dec 29 16:51:56 2004 LIST -la
Wed Dec 29 16:52:17 2004 有错误发生!
Wed Dec 29 16:52:17 2004 等待 5秒后重试

这个有时出,有时很正常,两台都是如此,一台是rh9,无防火墙,一台fc3,防火墙直接打开了20,21. 都在公网上,vsftpd都是默认设置.

?????

kf701

man ftp
>;passive

gydoesit

二楼的，你这个是linux客户端呀，我和其他用户几乎都是在win下用ftp命令的，win下的ftp没有pasv和port设定的,D:\>;ftp
ftp>; help
Commands may be abbreviated.  Commands are:

!               delete          literal         prompt          send
?               debug           ls              put             status
append          dir             mdelete         pwd             trace
ascii           disconnect      mdir            quit            type
bell            get             mget            quote           user
binary          glob            mkdir           recv            verbose
bye             hash            mls             remotehelp
cd              help            mput            rename
close           lcd             open            rmdir

网上乱搜了一下，有人说可以在vsftpd.conf里加入
port_promiscuous=yes
我加了有两天了，这两天没问题，我就没发帖。结果刚才登录，ls可以列表，再执行命令，比如再ls，就提示要设定port或pasv了。以往可是第一次命令时就要提示的：（

我们的客户端一般都在内网,这就得pasv模式，在vsftpd.conf里只有这两个与pasv有关，
pasv_enable
              Set to NO if you want to disallow the PASV method of obtaining a
              data connection.

              Default: YES

       pasv_promiscuous
              Set to YES if you want to disable the PASV security  check  that
              ensures  the data connection originates from the same IP address
              as the control connection.  Only enable if you know what you are
              doing!  The  only  legitimate  use  for  this is in some form of
              secure tunnelling scheme, or perhaps to facilitate FXP  support.

              Default: NO

另一个默认就有了。想不出了：（（（（（


各位大大，分析下什么原因？？？？？？？

gydoesit

在本机竟然也有问题，
[root@www ~]# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): admin
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>; ls
227 Entering Passive Mode (127,0,0,1,43,122)
然后就停止不动了。

本机的iptables脚本INPUT OUTPUT只有以下几行，
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -p tcp -m multiport --dport 20,21,22,80 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sport 20,21,22,80 -j ACCEPT

#下面两行是为了在本机通过ftp登录其他服务器。
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT


我又登录另一台看了下，这台根本就没有防火墙设置，所有端口都开着哩。看来还得在vsftpd找。

gydoesit

已经搞定,原来windows的ftp命令和ie不支持pasv.只有在服务器上开一些端口.唉,不安全呀(((

wingger

可以用window的软件啊，大部软件都支持两种方式

gydoesit

可我的fc3没开那么多端口.后来没办法,只有开了1000个端口, 并在vsftpd里设定使用pasv的端口.

serial0

那就禁　用PASV，只用PORT。

mccunix

我也遇到这个问题啦，也查了好多资料，外国网站还有解决方法，付费才让看。。。我自己一不小心弄好了，就是把那个vsftpd重启一下，然后再用cmd ftp登录就行，记得关闭防火墙或设置20号端口允许通过，Selinux设为permission（setenforce 0）

woxizishen

回复 9# mccunix
呵呵 扫盲下FTP工作原理吧，答案太多了。

FTP 主动模式
1.客户端用大于1024的高位端口发起初始化连接到vsftp服务器的21端口
2.vsftp服务器的21端口主动与客户端大于1024的高位端口建立控制连接
3.vsftp服务器的20端口主动与客户端大于1024的高位端口初始化数据连接
4.最后客户端才使用大于1024的高位端口响应FTP服务端的20端口。
从上述流程中，我们大致可知道在ftp主动模式下，vsftp服务器只需要开放20和21端口即可。


FTP被动模式
流程正好相反，除第一和第二步一样外，剩下的都是高位端口与高位端口建立连接，就不详解了。
所以被动模式下，而你在vsftp服务器开启了防火墙，你仅仅开20和21端口怎么可能够。