Permitindo conexões FTP passivas no FirewallD (CentOS 7)

Navegue suas respostas
3

No CentOS 7, que vem com o FirewallD, é fácil ativar o acesso HTTP: 

firewall-cmd --permanent --zone=public --add-service=http

No entanto, 

firewall-cmd --permanent --zone=public --add-service=ftp

não funciona: a regra se aplica, mas não consigo acessar o FTP de qualquer maneira, exceto desativar o FirewallD.

Algumas informações de diagnóstico:

  • Eu verifiquei o arquivo de definição de serviço (ftp.xml) e ele faz uso do módulo nf_conntrack_ftp.
  • No meu VPS, o módulo é compilado no kernel (não separado), então não está lá via lsmod, mas posso confirmar que está lá com isto: 


zgrep FTP /proc/config.gz


CONFIG_NF_CONNTRACK_FTP=y
CONFIG_NF_CONNTRACK_TFTP=y
CONFIG_NF_NAT_FTP=y
CONFIG_NF_NAT_TFTP=y
    
por Daniel V. 09.10.2014 / 01:25

2 respostas

4

Eu não pesquisei o problema completamente, então eu não entendo os detalhes, mas parece que isso tem algo a ver com como as conexões ativo-passivas são configuradas para o vsftpd no servidor e para o cliente (ex: Filezilla ).

Basicamente, você precisará:

  • configure o modo passivo vsfptd adicionando o seguinte ao /etc/vsftpd/vsftpd.conf: %código%
  • Reinicie o vsftpd: %código%
  • Porta Ope 4000 no FirewallD: %código%
  • Então, consegui me conectar com pasv_enable=Yes pasv_max_port=40000 pasv_min_port=40000 . Para configurar o Filezilla para usar o modo ativo, verifique link
por 12.04.2015 / 09:43
0

tente: editar /etc/vsftpd/vsftpd.conf 

pasv_enable=YES
pasv_min_port=65400
pasv_max_port=65410

Então: 

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p TCP --dport 21 --sport 1024:65534 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p TCP --dport 65400:65410 --sport 1024:65534 -j ACCEPT
firewall-cmd --reload
firewall-cmd --permanent --direct --get-all-rules

Eu uso o vsftp server & O FileZilla Client pode funcionar

    
por 18.01.2017 / 04:56

Tags

Obtendo o erro “Recebido pacote SFTP muito grande” ao se conectar com a conta raiz ao servidor via WinSCP Evite repetir 'with_items' no papel Ansible