Автор Тема: При включении Firewall блокируется браузер и FTP  (Прочитано 4311 раз)

Оффлайн mentalDepression

  • Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".
  • Давно тут
  • **
  • Сообщений: 26
Классный сервер, но работа фаервола не понятна. Почему же при включении фаервола, он сразу блокирует браузер (невозможно выйти в интернет с сервера)? Это не правильно, все исходящие вроде должны пропускаться, например как в Windows, ведь оболочка наверно для того и создавалась, чтобы было проще - включил, галочками отметил входящие порты которые нужны и всё, фаервол настроен (это была бы стандартная настройка, пропуск всех исходящих и отмеченных входящих соединений).
В общем, фаервол блокирует браузер сервера, а также с другой машины становится невозможно зайти на FTP сервер (авторизация проходит, а далее ошибка "Не удалось получить список каталогов"). Как только отключаю фаервол, всё отлично работает.
Параметры:
* ALT Server 8.2 i586 (Альт Сервер 8.2 i586).
* На сервере Сеть1 (10.0.0.2, выбран как внешний интерфейс) и Сеть2 (10.0.1.1), у обоих разрешены входящие WWW, FTP, LDAP, ICMP,
* Комп (10.0.0.5) для захода на FTP (пассивный режим клиента), подключен к Сеть1.
* По умолчанию домен (localdomain), по умолчанию DNS, выключен DHCP.
* LDAP включен.
Подскажите, что здесь не так?
Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 962
    • Домашняя страница
    • Email
1. Внешней сетью надо делать сеть к провайдеру, а не локальную сеть.
2. Alterator надо отдельно включать (там есть пункт) (порт 8080).
Андрей Черепанов (cas@)

Оффлайн mentalDepression

  • Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".
  • Давно тут
  • **
  • Сообщений: 26
У меня домашний сервер. Сеть1 состоит из ADSL модема (10.0.0.1), который подключен к провайдеру (на нём включен DHCP) и домашних устройств которым нужен выход в Интернет, в том числе сервер (10.0.0.2). Устройства выходят в интернет через модем, а не сервер. Чтобы максимально защитить сервер, я включаю фаервол и получаю нерабочий FTP и браузер сервера.
Похоже я не так понимал слова "внешний интерфейс", значит у меня модем это внешний интерфейс, а сетевые карты Сеть1 и Сеть2 это внутренние интерфейсы. На данный момент, после того как я сделал все сети внутренними, заработал браузер, FTP остался нерабочим, что-то мешает получить список каталогов. Какие идеи?
2. Alterator надо отдельно включать (там есть пункт) (порт 8080).
Про альтератор не понял, захожу без проблем (10.0.0.2:8080), он включен.
Спасибо.
Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".

Оффлайн andrew_b

  • Завсегдатай
  • *
  • Сообщений: 542
FTP остался нерабочим, что-то мешает получить список каталогов. Какие идеи?
# grep disable /etc/xinetd.d/vsftpd
disable = no
Если yes, исправить на no и
# service vsftpd restart

Оффлайн mentalDepression

  • Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".
  • Давно тут
  • **
  • Сообщений: 26
# grep disable /etc/xinetd.d/vsftpd
Набрал "grep", показывает "disable = no".
Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".

Оффлайн andrew_b

  • Завсегдатай
  • *
  • Сообщений: 542
Набрал "grep", показывает "disable = no".
А vsftpd запущен?

Оффлайн mentalDepression

  • Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".
  • Давно тут
  • **
  • Сообщений: 26
Всё, решил эту проблему.
1) Активируем настройки сервера которые закомментированы (указываем порты для пассивного режима, в моём случае 10).
/etc/vsftpd.conf
pasv_min_port=20000
pasv_max_port=20010
2) Далее заходим в настройки фаервола "Внутренние сети" и в поле "Дополнительные порты TCP" прописываем эти пассивные порты "20000-20010", перезагружаем сервер.
Теперь всё работает со включенным фаерволом.
Создатели дистрибутива могли бы автоматизировать это (возможно как отдельная опция), тогда бы не пришлось время тратить .
Спасибо!
Или мы остались в прошлом "настройка вручную", или мы находимся в будущем "компьютер делает сам".