[Wien] umbau HP$sector/ftp probleme (Felix)

Michael B. Kerber (spam-protected)
Mo Nov 12 13:30:56 CET 2007


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi!
Das mitm FTP kann problematisch sein. Im prinzip gibts zwei sessions:
Eine control und eine transfer.
Letzter ist das was nicht klappt. von den ursprüngen des ftp kann man da
alles machen (so auch control verbindung von rechner a auf b und von
dort einen transfer von c nach d...) was nicht sehr sicher ist ;)
Um ftp abzusichern ist an firewalls recht schwierig und ich hatte hier
schon mal den fall, dass über mind 2 firewalls hinweg eine verbindung
mit einem client wie unten beschrieben halt einfach nicht geklappt hat,
während mit nem anderen client keine probleme waren!

Das problem ist, dass von der control verbindung aus folgende befehle
vom clienten kommen:
[22:31:09] USER admin
[22:31:09] PASS (hidden)
[22:31:09] LIST -aL

weiter gehen könnte es via
PASSV
oder (ACTIVE, wenn ich mich recht erinnere)
bzw
RETR <filename>

diese instruieren den ftp server das einloggen vorzunehmen und ein
listing zu senden. Dann wirds interessant: PASSV aktiviert den passiven
FTP modus => der server öffnet nen port (1026 bei dir) über die der
client die daten (das listing) bekommt.
Bei active würde der server die daten auf nen geöffneten port auf der
client side schicken
(man beachte, dass der server auch ip/port von ner anderen maschine
schicken könnte!!!)
dh dein client versucht auf den port den ihm der server gesagt hat eine
verbindung aufzumachen und die ist wahrscheinlich zu!

Du kannst mal ne ftp session via telnet durchspielen (telnet auf port
21, USER <username>, PASS <passwd>, LIST,
=> port nummer merken, die dir der server schickt und dann auf diese ein
nmap machen oder ne telnet session um zu sehen obste durchkommst...)

so sieht man recht gut wo es hängt... (uu active FTP probieren)

was noch: der linux kernel hatte extensions fürs forwarding/masquerading
von ftp sessions, soweit ich mich erinnere da hats früher probleme
gegeben...
prinzipiell sollte das aber im 2.4.x gelöst sein - siehe :
http://tldp.org/HOWTO/IP-Masquerade-HOWTO/kernel-2.4.x-requirements.html
"PORT Forwarding of FTP traffic to internal hosts is now completely
supported and is handled in the conn_trak_ftp module"

uu muss man aber noch etwas configern?!

uu hat sich etwas bei deinen forwarding/filtering rules geändert? Oder
ein os-upgrade?

wie sehen deine firewall rules aus?

lg, ich hoffe es war was hilfreiches dabei!

- -mike

PS ad FTP und die modes siehe zb.:

http://en.wikipedia.org/wiki/File_Transfer_Protocol

- -----Urspr?ngliche Nachricht-----
Von: (spam-protected)
[mailto:(spam-protected)] Im Auftrag von Felix Ehritz
Gesendet: Dienstag, 06. November 2007 22:34
An: (spam-protected); (spam-protected)
Betreff: Re: [Wien] umbau HP$sector/ftp probleme

Neue konfig nach umbau.
Mein privater router is auf hp4omni.
Auf meinem privaten router h?ngt der nslu2-ftp.
Dieser erh?lt immer deselbe IP via DHCP
Der private router leitet port 20 und 21 vom ftp  auf wan weiter und ist so
mit auf der wan adresse und port 20 bzw 21 erreichbar.
Der wan h?ngt auf dem hp4sector. Auf diesem ist portforwarding installiert
und auf die wan vom privaten router. Die webinterfaces laufen auch
einwandfrei.
Das heisst port 8080, 8081 und 8082 sind von extern erreichbar. Aber ftp
spinnt voll.
Habe UPNP beim ftp deaktiviert. Was immer das auch ist. Habe gelesen, dass
das irgendwelche ports aufmacht. Aber f?r klassisches ftp m?ssten doch 2
reichen. 20/21.
Irgendwie komm ich nicht mit.
Habe einen account f?r funkfeuer eingerichtet:
ftp://hp4omni.funkfeuer.at was nicht funktioniert.
bzw http://hp4omni.funkfeuer.at:8081 kann man sich im webinterface
einloggen. Das hat heute Nachmittag noch funktioniert.
Aber ?bers webinterface kann ich nix uploaden. Mit ausnahme wenn ich daheim
auf der workstation sitze. Und lokal in meinem netzwerk was "uploade".
Das log von daheim:
[22:31:05] SmartFTP v2.5.1006.48
[22:31:05] Resolving host name "10.0.0.2"
[22:31:05] Connecting to 10.0.0.2 Port: 21
[22:31:05] Connected to 10.0.0.2.
[22:31:09] 220 FTP server at 10.0.0.2 ready.
[22:31:09] USER admin
[22:31:09] 331 Password please.
[22:31:09] PASS (hidden)
[22:31:09] 230 User logged in.
[22:31:09] SYST
[22:31:09] 215 UNIX Type: L8
[22:31:09] Detected Server Type: UNIX
[22:31:09] FEAT
[22:31:09] 211-Extensions supported:
[22:31:09]  XPWD
[22:31:09]  EPRT
[22:31:09]  EPSV
[22:31:09]  ALLO
[22:31:09]  APPE
[22:31:09]  MDTM
[22:31:09]  XCWD
[22:31:09]  XCUP
[22:31:09]  XMKD
[22:31:09]  XRMD
[22:31:09]  REST
[22:31:09]  SIZE
[22:31:09] 211 End
[22:31:09] PWD
[22:31:09] 257 "/" is the current working directory.
[22:31:09] CWD /DISK 1
[22:31:09] 250 OK
[22:31:09] PWD
[22:31:09] 257 "/DISK 1" is the current working directory.
[22:31:09] TYPE A
[22:31:09] 200 Transfer type changed to ASCII
[22:31:09] PASV
[22:31:09] 227 Entering Passive Mode (10,0,0,2,4,2)
[22:31:09] Opening data connection to 10.0.0.2 Port: 1026
[22:31:09] LIST -aL
[22:31:09] 150 Data connection established.
[22:31:09] 0 bytes transferred. (N/A/s) (0 ms)
[22:31:10] 226 Directory list has been submitted.

Was ich nicht verstehe warum macht er das ?ber port 1026?
Check ich nicht ganz.


Das beste ist: der schrott hat schon mal funktioniert bis vor knapp einem
monat... und dann hat der umbau angefangen und seitdem ist nix mehr mit
ftp...
Traurig. Bin echt schon ratlos.
Hi!

Leider kenne ich deine Konfiguration nicht. Ich nehme mal an du hast am
Router das port 21 geforwardet. Verbindung funktioniert nur solange du nicht
?ber den Router darauf zugreifst.

Vielleicht liegt es an den FTP Server Einstellungen. Der Server gibt bei
PASV dem Client die IP und das Port bekannt. Die IP k?nnte falsch sein, da
die 10er verwendet wird. Das Port f?r PASV ist auf der Firewall/Router nicht
frei gegeben bzw. nicht geforwardet. Somit endet die Verbindung nach PASV.

1. Probier mal den Client ohne PASV Mode. Kann funktionieren wenn der Client
nicht selbst hinter einem Router sitzt der die Ports dicht macht.

oder

2. Stell am FTP Server die Portrange f?r den PASV Mode ein und gib die auf
der Firewall/Router frei.

Vielleicht hilft die irgendwas davon.  :-)

sG Erich
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHOEd//K67bqurtlARArZ+AJ9fCcU+5U6Gz6cduz8OdZHUm1ZO+gCfbCrE
OvwXJoqBa05ksOkYjYsHb74=
=kNG6
-----END PGP SIGNATURE-----




Mehr Informationen über die Mailingliste Wien