https://www.opennet.ru/openforum/vsluhforumID1/97067.html Здравствуйте<br><br>Есть виртуальная машина под FreeBSD 11.0 на WMSphere с адресом IntIP, с проброшенными наружу на адрес RealIP несколькими сервисами.<br>Проброс через стандартный WMSphere Edge Gateway, сервисы проброшены наружу через DNAT.<br><br>Потребовалось поднять vsftpd с ssl на этой машине, с тем, чтобы дать на нее доступ с нескольких внешних IP.<br><br>Пакет vsftpd-ssl-3.0.3<br>В Edge Gateway был выполнен проброс с инета к виртуалке (DNAT TCP) с портов 21 и на всякий случай с TCP 989-990.<br>Из виртуалки наружу есть SNAT с полным доступом.<br>В ipfw внесены правила, разрешающие TCP 21,989,990 и диапазон пассивных портов (см. конфиг vsftpd) для нескольких внешних IP.<br>В сам vsftpd добавлен корректный pem-сертификат с паблик и приват ключами, выданный внешним CA (RapidSSL) с dns именем, совпадающим с внешним именем сервера (ftp.company.ru)<br><br>После всех телодвижений подключение по обычному FTP в пассивном режиме и выполнение команд идет прекрасно, а вот по FTPS - нет.<br><br>Лог подключения (FileZilla):<br><br>15:29:31Status:Re https://www.opennet.ru/openforum/vsluhforumID1/97067.html#4 Wed, 06 Dec 2017 12:46:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 257 "/" is the current directory <br>&gt;&gt; Get directory <br>&gt;&gt; TYPE A <br>&gt;&gt; 200 Switching to ASCII mode.<br>&gt;&gt; PASV <br>&gt;&gt; 227 Entering Passive Mode (IntIP,195,87).<br>&gt;&gt; Server reports local IP -&gt; Redirect to: RealIP <br>&gt;&gt; PORT AdminIP,163,155 <br>&gt;&gt; 500 Illegal PORT command.<br>&gt; В линухе надо модуль подгружать nf_nat_ftp, может и во фре тоже... <br><br>Вообще может рассмотреть вопрос sftp а не ftps?<br> https://www.opennet.ru/openforum/vsluhforumID1/97067.html#3 Wed, 06 Dec 2017 12:41:49 GMT &gt;[оверквотинг удален]<br>&gt; PWD <br>&gt; 257 "/" is the current directory <br>&gt; Get directory <br>&gt; TYPE A <br>&gt; 200 Switching to ASCII mode.<br>&gt; PASV <br>&gt; 227 Entering Passive Mode (IntIP,195,87).<br>&gt; Server reports local IP -&gt; Redirect to: RealIP <br>&gt; PORT AdminIP,163,155 <br>&gt; 500 Illegal PORT command.<br><br>В линухе надо модуль подгружать nf_nat_ftp, может и во фре тоже...<br> https://www.opennet.ru/openforum/vsluhforumID1/97067.html#2 Wed, 06 Dec 2017 07:22:29 GMT &gt; так у тебя: <br>&gt; pasv_min_port=50000 <br>&gt; pasv_max_port=50999 <br>&gt; что ж ты их то не пробросил то?<br>&gt; уменьши диапазон с 1000 на 10-20 и пробрось.<br><br>Прошу прощения, не внес в топик. Добавлены они у меня. Грешил на DNAT, делал полный входящий any проброс - аналогичная ситуация. Причем через простой FTP вход в пассивный режим по логам отчетливо виден:<br><br>227 Entering Passive Mode (***).<br>LIST<br>150 Here comes the directory listing.<br>Download<br><br>Вот кстати лог попытки FTPS с другого ftp клиента:<br><br>Using sChannel for SSL/TLS connection.<br>Connect to: (06.12.2017 9:11:27)<br>hostname=ftp.company.ru<br>username=***********<br>startdir=<br>ftp.company.ru=RealIP<br>220 "Welcome to webserver FTP service."<br>AUTH TLS<br>234 Proceed with negotiation.<br>Method: TLSv1.2<br>Cert subject: CN=ftp.company.ru<br>Cert issuer: C=US, O=GeoTrust Inc., CN=RapidSSL SHA256 CA<br>USER ***********<br>331 Please specify the password.<br>PASS ***********<br>230 Login successful.<br>SYST<br>215 UNIX Type: L8<br>FEAT<br>211-Features:<br> AUTH TLS<br> EPRT<br> EPSV<br> MDTM<br> PASV<br> https://www.opennet.ru/openforum/vsluhforumID1/97067.html#1 Tue, 05 Dec 2017 22:16:12 GMT так у тебя:<br>pasv_min_port=50000<br>pasv_max_port=50999<br><br><br>что ж ты их то не пробросил то?<br><br>уменьши диапазон с 1000 на 10-20 и пробрось. <br>