Процесс httpd работает? Попробуйте это (или подобный) команда оболочки на Вашем XServe:
ps -ef | grep httpd
каков вывод?
KM
Вам необходимо явно разрешить доступ к диапазону входящих портов ftp-data . Ответ Ник рекомендует статически открывать полный диапазон, но это может быть и , и открытым. Кроме того, RELATED
бесполезен в этом случае, потому что модуль conntrack_ftp не может отслеживать зашифрованное управляющее соединение.
Я рекомендую использовать последнее совпадение . Попробуйте следующее:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -j in_new
iptables -A in_new -p tcp --sport 1024: --syn --dport 64000:65535 -m recent --name ftpdata --update --seconds 1800 --reap -j ACCEPT
iptables -A in_new -p tcp --syn --dport ftp -m recent --name ftpdata --set -j ACCEPT
Правило - set
будет соответствовать управляющему соединению и добавит исходный IP-адрес в список последних ftpdata
. Правило - update
сделает большую часть интересной работы:
ftpdata
( - обновление
) и адрес источника был замечен в течение последних 1800 секунд ( - -seconds 1800
). - update
). ftpdata
, который не был виден за последние 1800, будет удален ( - reap
). Итак, после того, как контрольное соединение было ACCEPT
ed, у вас есть 1800 секунд для инициации данных. соединения. По истечении этого времени вам нужно будет повторно открыть управляющее соединение, чтобы повторно добавить адрес источника в список ftpdata
.
Неудобство этого решения, если эти ftp-клиенты не смогут инициировать соединения для передачи данных через 1800 секунд после их последнего времени установления контрольного соединения. Вы можете использовать 24 часа, если хотите, это будет меньше открытых в любом случае, чем если бы весь диапазон портов был постоянно открыт. У вас также может быть такая последовательность:
iptables -A INPUT -m state --state ESTABLISHED -p tcp --dport ftp -m recent --set
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
для обновления адреса источника всякий раз, когда приходит установленный пакет управляющего соединения, но я предпочитаю, чтобы правило - состояние СВЯЗАННО, УСТАНОВЛЕНО
вверху.
Проверьте также параметры accept_timeout
, data_connection_timeout
и idle_session_timeout
в vsftpd.conf .
iptables -A INPUT -m state --state ESTABLISHED -p tcp --dport ftp -m recent --set
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
для обновления адреса источника всякий раз, когда приходит установленный пакет управляющего соединения, но я предпочитаю, чтобы правило - состояние СВЯЗАННО, УСТАНОВЛЕНО
вверху.
Проверьте также параметры accept_timeout
, data_connection_timeout
и idle_session_timeout
в vsftpd.conf .
iptables -A INPUT -m state --state ESTABLISHED -p tcp --dport ftp -m recent --set
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
для обновления адреса источника всякий раз, когда приходит установленный пакет управляющего соединения, но я предпочитаю, чтобы правило - состояние СВЯЗАННО, УСТАНОВЛЕНО
вверху.
Проверьте также параметры accept_timeout
, data_connection_timeout
и idle_session_timeout
в vsftpd.conf .
Поскольку вы, вероятно, создали релиз разработчика непосредственно из архива, причина может быть в том, что вы не предоставили правильные параметры ./ configure
(например, - префикс
и ] --sysconfdir
) для замены сценария ipsec
, предоставляемого пакетом Fedora Openswan по умолчанию. Чтобы избежать конфликта, вы можете все равно удалить этот пакет, в противном случае вы также можете использовать параметр - with-ipsec-script = strongswan
, чтобы переименовать сценарий strongSwan ipsec в ] strongswan .