O linux ou o vsftpd podem recusar a conexão se a largura de banda do cliente for muito baixa

2

Eu tenho um servidor FTP ao qual meus clientes se conectam silenciosamente pela manhã, mas à tarde a conexão é recusada (não todos, mas apenas um deles), enquanto os clientes que usam http normalmente trabalham.

Em particular, parece que as credenciais de autenticação são aceitas, mas a transferência de arquivos está bloqueada.

Será possível que o cliente à tarde tenha disponível uma banda mais baixa e, em seguida, o linux ou o vsftpd negue a conexão?

O servidor ftp é passivo, o arquivo de configuração é vsftpd.conf ( aaa.bbb.ccc.ddd é o endereço IP do servidor) é:

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=0666
xferlog_enable=YES
xferlog_std_format=YES
idle_session_timeout=600
data_connection_timeout=120
chroot_local_user=YES
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50010
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
file_open_mode=0666
anon_umask=000
anon_upload_enable=YES
anon_mkdir_write_enable=NO
anon_other_write_enable=YES
guest_enable=YES
guest_username=virtual
user_config_dir=/etc/vsftpd/vsftpd_user_conf
pasv_address=aaa.bbb.ccc.ddd
pasv_addr_resolve=NO
secure_chroot_dir=/usr/share/empty
allow_writeable_chroot=YES
isolate=NO
isolate_network=NO
    
por famedoro 16.11.2016 / 13:45

1 resposta

2

Eu gostaria de verificar com sua equipe de firewall. Alguns dos firewalls mais avançados podem reagir dessa maneira em alguns casos.

Com FTP passivo (configuração comum), a conexão inicia na porta 21 e depois passa para uma porta aleatória de alto número. No seu caso, as portas 50000-50010 são usadas. O firewall é provável (e deve) ser configurado para bloquear essas portas, pois elas não são usadas como portas dedicadas. Os firewalls podem permitir conexões na porta 21 e, em seguida, se a conexão for estabelecida, ela rastreará a conexão e permitirá a passagem de uma porta dinâmica.

Suspeito que seu usuário que não está usando a conexão está enfrentando um tempo limite nesse caso. Enquanto a porta 21 estará sempre aberta, as portas dinâmicas terão timeouts associados a elas. A transferência de arquivos estará ocorrendo nas portas dinâmicas, o que explica por que elas podem se conectar, mas não transferir.

    
por 16.11.2016 / 14:37