Продолжение настройки VPS сервера

[flint1975]

От сервера мне надо - 2 вещи:
1. Metatrader сервер, что я успешно запустил на vncserver+fluxbox+wine
2. FTP для одного пользователя, что у меня пока не получается.
vsftpd - включен и настроен через альтератор.
через firefox, изнутри vnc сессии - все ОК
снаружи - ни как.

сетевая подсистема - net-scripts
iptables - не настроено (пусто)
по ssh входит, по https в альтератор тоже
На ftp - сразу же вываливается по тайм ауту (Даже пользователя и пароль не спрашивает)

куда рыть?

 

[flint1975]

Частично разобрался! ФТП заработал.
Это немного баг, только вот я не знаю как сформулировать.
при попытке логина с внешней сети - xinetd вываливал сообщение: FAIL  bla bla adress (мой адрес)
лезу через вебинтерфейс в настройки xinet.d и вижу там не установлено значение "Только с адресов"
Подглядел как у других сделано - должно быть "0/0"
Пытаюсь поставить - альтератор ругается - недопустимое значение параметра ...
иду в /etc/xinet.d/vsftpd
Там вообще параметра "only_from" нету
Руками добавил перезапустил xinetd все заработало!

Следующая проблема: ядро у оператора стоит

Код: [Выделить]

2.6.18-274.7.1.el5.028stab095.1Iptables - ругается на него при использовании опции -t (не может какой-то модуль загрузить)
По этой причине - я напоролся на один косяк установив etcnet - после чего провайдеру пришлось ручками поднимать сеть.
Соответственно Сейчас файрвола никакого нет, я смотрю в логи - там кто-то периодически пароль к root подбирает. (Он конечно у меня трудный к подбору но все-таки)

Что присоветуете в таком варианте?
И как можно логи почистить? а то за 12 часов 16 МБ навалилось только в message!

[asy]

Следующая проблема: ядро у оператора стоит

Код: [Выделить]

2.6.18-274.7.1.el5.028stab095.1Iptables - ругается на него при использовании опции -t (не может какой-то модуль загрузить)

Тут только с оператором общаться. Чтобы iptables заработал, надо в общих настройках OpenVZ соответствующие модули грузить.

В /etc/vz/vz.cont в хост-системе что-то вроде:

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat ipt_conntrack ipt_REDIRECT"

А, вообще, проще оператору добавить что-то вроде

-A FORWARD -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit_f --rsource
-A FORWARD -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit_f --rsource -j LOG
-A FORWARD -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit_f --rsource -j DROP

Этим он сразу все контейнеры защитит. И, в качестве бонуса, уменьшит нагрузку на хост-ситему, так как эти переборы на массе контейнеров не безобидны в этом плане.