1

我想在 nixos 主机上运行 ftp 服务器。我正在使用 vsftpd,但如果这会有所作为,可以使用其他东西。

ftp 在 localhost 上运行良好,但防火墙阻止我远程使用。我已经允许 TCP 端口 21,但这还不够。

我应该如何配置防火墙以允许 ftp 连接(包括写入 ftp 服务器)?

这是我目前拥有的代码:

{
networking.firewall = { allowedTCPPorts = [ 20 21 ];
#                        connectionTrackingModules = [ "ftp" ];
                      };

  services.vsftpd = {
    enable = true;
#   cannot chroot && write
#    chrootlocalUser = true;
    writeEnable = true;
    localUsers = true;
    userlist = [ "martyn" "cam" ];
    userlistEnable = true;
  };
}

有了上述情况,任何从主机外使用 ftp 都会失败:

ftp> put dead.letter
200 PORT command successful. Consider using PASV.
425 Failed to establish connection.

使用被动模式(例如, with ftp -p)在这里似乎没有帮助:

ftp> put dead.letter
227 Entering Passive Mode (192,168,0,7,219,202).
ftp: connect: Connection timed out

在禁用防火墙的一次性主机上进行测试

网络.firewall.enable = false;

允许ftp -p工作;虽然当然关闭防火墙不是一个有吸引力的选择。

感谢您的任何帮助和指点,

4

2 回答 2

2

在被动模式下,客户端将通过第二个连接连接到服务器,该连接用于传输“事物”(目录列表、文件)。在你的情况下:

227 Entering Passive Mode (192,168,0,7,219,202)

服务器请求客户端在端口 219 * 256 + 202 = 56266 上连接到它。

此端口由 vsftpd 动态选择,并且未在您的防火墙中打开。您必须将 vsftpd 修复为被动连接的固定端口,并在防火墙中打开此连接。

vsftpd 有两个配置选项来设置它:pasv_max_portpasv_min_port. 您应该可以将它们设置为services.vsftpd.extraConfig. 您可能希望打开一小部分端口并在防火墙中打开这些端口。

于 2019-07-22T08:13:57.083 回答
1

要在防火墙中打开端口,请使用networking.firewall.allowedTCPPorts。例如:

networking.firewall.allowedTCPPorts = [ 21 ];
services.vsftpd.extraConfig = ''
  pasv_enable=Yes
  pasv_min_port=51000
  pasv_max_port=51999
'';
networking.firewall.allowedTCPPortRanges = [ { from = 51000; to = 51999; } ];

NixOS 中的防火墙配置不是自动的,因为这会破坏控制允许流量的目的。

一些服务可以openFirewall选择使这更容易,但该vsftpd模块似乎没有提供这种便利。

编辑:20 是给客户的。只需打开 21 个。编辑:加上被动模式连接的范围。

于 2019-07-15T14:02:25.793 回答