Какие порты открыть для FTP?

Question

[Простой Человек]

Установил ufw, добавил порт 21, при попытке соединиться сообщает, что логин успешный, а дальше долго думает и на примере WinSCP

Превышено время ожидания (соединение потока передачи данных)
Не могу получить содержимое каталога
Не могу просмотреть каталог '/'.

Comments

[mayton2019]

Покажи что у тебя показывает sudo ufw status

[Простой Человек]

mayton2019,

sudo ufw statusroot@moscow-battle ~ # sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
2022                       ALLOW       Anywhere
8443                       ALLOW       Anywhere
443                        ALLOW       Anywhere
2053                       ALLOW       Anywhere
1980/tcp                   ALLOW       Anywhere
27000:27155/udp            ALLOW       Anywhere
8080/tcp                   ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
5000                       ALLOW       Anywhere
21                         ALLOW       Anywhere
20                         ALLOW       Anywhere
2022 (v6)                  ALLOW       Anywhere (v6)
8443 (v6)                  ALLOW       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)
2053 (v6)                  ALLOW       Anywhere (v6)
1980/tcp (v6)              ALLOW       Anywhere (v6)
27000:27155/udp (v6)       ALLOW       Anywhere (v6)
8080/tcp (v6)              ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
5000 (v6)                  ALLOW       Anywhere (v6)
21 (v6)                    ALLOW       Anywhere (v6)
20 (v6)                    ALLOW       Anywhere (v6)

Answer 1

[Кот Абсолютный]

Потому что FTP не так просто пропустить через файрволл. Пропускаются порты 20-21 и кроме того, пассивные порты.

Comments

[Простой Человек]

Добавил 20-ый, те же яйца.
Что значит пассивные порты? Какой их диапазон?

[Кот Абсолютный]

БлагоЯр Тишина, Значит, что надо почитать что-то про то, как FTP работает. А работает он примерно так: по 21 порту приходит коннект, по 20-му идут данные, например ls передается. А когда юзер запрашивает трансфер, сервер отвечает - я тебе открываю такие-то порты. Диапазон их произвольный, как их ограничить - спроси гугл, я, за давностью лет не помню.

[Простой Человек]

CityCat4, благодраю за наводку, оказывается ProFTPd есть спец параметр под это дело.
Из man-a

To resolve this, simply use the PassivePorts directive in your proftpd.conf to control what ports proftpd will use for its passive data transfers:
  PassivePorts 60000 65535

[res2001]

БлагоЯр Тишина, Кроме всего прочего в FTP есть активный и пассивный режимы, это то же накладывает свою специфику на использование портов.
Проще всего выкинуть FTP с его вывертами с портами и заменить его каким-нибудь нормальным протоколом. Например SCP. Для него обычно достаточно поднять ssh сервер.

[Кот Абсолютный]

res2001, Да, FTP старый протокол, сейчас его использование должно быть оправдано.

[Простой Человек]

res2001, дело в том, что FTP мне нужен для того, чтобы заливать файлы и не морочиться потом исправлять владельца. То бишь это www-root. А его вроде как нельзя организовать по SCP.
Так-то я по SFTP пользуюсь.

[Простой Человек]

TheAndrey7, чёт не совсем понимаю.
Сейчас у меня в sshd.conf отключен вход по паролю (только по ключу).
Это типа можно www-root добавить паблик-ключ? Если да, то куда?
Если нет, то нужно включить авторизацию по паролю и войдёт?

[Простой Человек]

TheAndrey7, не не, у меня ISP Mgr и у него есть www-root для работы с web, так же сохраняется и www-data

[Простой Человек]

TheAndrey7, ну да, только сайты все ему www-root принадлежат и если я другого создам, и назначу сайтам, то будут проблемы

Answer 2

[Ocelot]

Обычно управление идёт по порту 21, поток данных — 20
Для FTPS — порты 990 и 989

Comments

[Простой Человек]

Открыл, не помогает.