vsftpd wel intern niet extern

sidecar · 2 november 2006

ik ben nu al dagen bezig om een anonymous ftp server op tezetten,

met vsftpd op een suse 10.1 server.

ik kan de ftp server met elke web-browser via intern netwerk wel benaderen.

maar extern, kan ik alleen maar met IE de ftp server benaderen.

als ik een tail doe, zie ik dat het blijft steken bij het LIST commando.

Code:

Nov  3 00:14:41 Alpha vsftpd: Fri Nov  3 00:14:41 2006 [pid 4570] CONNECT: Client "192.168.1.1"Nov  3 00:14:41 Alpha vsftpd: Fri Nov  3 00:14:41 2006 [pid 4570] FTP response: Client "192.168.1.1", "220 "Welcome to My FTP service.""Nov  3 00:14:41 Alpha vsftpd: Fri Nov  3 00:14:41 2006 [pid 4570] FTP command: Client "192.168.1.1", "USER anonymous"Nov  3 00:14:41 Alpha vsftpd: Fri Nov  3 00:14:41 2006 [pid 4570] [anonymous] FTP response: Client "192.168.1.1", "331 Please specify the password."Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4570] [anonymous] FTP command: Client "192.168.1.1", "PASS <password>"Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4569] [ftp] OK LOGIN: Client "192.168.1.1", anon password "opera@"Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "230 Login successful."Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP command: Client "192.168.1.1", "TYPE I"Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "200 Switching to Binary mode."Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP command: Client "192.168.1.1", "MODE B"Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "504 Bad MODE command."Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP command: Client "192.168.1.1", "PASV"Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "227 Entering Passive Mode (192,168,1,101,31,194)"Nov  3 00:14:42 Alpha vsftpd: Fri Nov  3 00:14:42 2006 [pid 4571] [ftp] FTP command: Client "192.168.1.1", "LIST"Nov  3 00:15:42 Alpha vsftpd: Fri Nov  3 00:15:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "425 Failed to establish connection."Nov  3 00:15:42 Alpha vsftpd: Fri Nov  3 00:15:42 2006 [pid 4571] [ftp] FTP command: Client "192.168.1.1", "CWD /"Nov  3 00:15:42 Alpha vsftpd: Fri Nov  3 00:15:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "250 Directory successfully changed."Nov  3 00:15:42 Alpha vsftpd: Fri Nov  3 00:15:42 2006 [pid 4571] [ftp] FTP command: Client "192.168.1.1", "PASV"Nov  3 00:15:42 Alpha vsftpd: Fri Nov  3 00:15:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "227 Entering Passive Mode (192,168,1,101,245,24)"Nov  3 00:15:42 Alpha vsftpd: Fri Nov  3 00:15:42 2006 [pid 4571] [ftp] FTP command: Client "192.168.1.1", "LIST"Nov  3 00:16:24 Alpha syslog-ng[2066]: STATS: dropped 0Nov  3 00:16:42 Alpha vsftpd: Fri Nov  3 00:16:42 2006 [pid 4571] [ftp] FTP response: Client "192.168.1.1", "425 Failed to establish connection."

hoe kan het nou dat het met IE wel lukt om de ftp directory te lezen

en met opera en firefox niet?

hier volgt mijn /etc/vsftpd.conf

Code:

#write_enable=YESdirmessage_enable=YES#nopriv_user=ftpsecureftpd_banner="Welcome to My FTP service."#ls_recurse_enable=YES#deny_email_enable=YES#banned_email_file=/etc/vsftpd.banned_emailshide_ids=YES#local_enable=YESlocal_umask=022#chroot_local_user=YES#chroot_list_enable=YES#chroot_list_file=/etc/vsftpd.chroot_list#local_max_rate=7200anonymous_enable=YESanon_world_readable_only=NO#anon_upload_enable=YESanon_umask=022#anon_mkdir_write_enable=YES#anon_other_write_enable=YES#chown_uploads=YES#chown_username=whoever#anon_max_rate=7200syslog_enable=YESlog_ftp_protocol=YESxferlog_enable=YES#vsftpd_log_file=/var/log/vsftpd.log#xferlog_std_format=YES#xferlog_file=/var/log/xferlog#dual_log_enable=YES#setproctitle_enable=YESconnect_from_port_20=YES#idle_session_timeout=600#data_connection_timeout=120#async_abor_enable=YES#ascii_upload_enable=YES#ascii_download_enable=YES#pasv_enable=NOpam_service_name=vsftpdlisten=YESssl_enable=NO

is er iemand die weet hoe het wel moet(kan)?

**Big fellow** · 3 november 2006

Heb je passive FTP aanstaan op de client? Zo niet, dan is dat het probleem.

Dit moet je doen omdat je door een NAT doos heen gaat. (De NAT doos is je router)

Big fellow

sidecar · 3 november 2006

volgens mij wel, want als ik naar de tail kijk zie ik:

Entering Passive Mode (192,168,1,101,31,194)

volgens mij werkt opera alleen maar in pasive ftp,

en Internet Explorer met active.

als ik met Internet Explorer naar de ftp server ga,

zie ik dit in de log

Code:

FTP command: Client "192.168.1.1", "port 192,168,1,1,14,75"FTP responce: Client "192.168.1.1", "200 PORT command successful. Consider using PASV."[/codeen met opera zie ik dit[code]FTP command: Client "192.168.1.1", "PASV"FTP response: Client "192.168.1.1", "227 Entering Passive Mode (192,168,1,101,31,194)"

het moet haast een verkeerde server instelling zijn, want als ik met opera naar

bv de ftp server van suse ga werkt het wel.

ik heb het ook ge probeert met alle firewalls uitgeschakeld,

maar ook zonder success.

tenzij er nog ergens in suse iets is wat ook nog iets regeld dat ik niet gevonden heb.(ik ben een leek op linux gebied, dus het zou kunnen <img src="/forums/images/graemlins/blush.gif" alt="" />)

al met al wordt ik er wel gek van,

vsftpd staat voor very secure ftp deamon, maar dit is me toch iets te secure.

**Big fellow** · 3 november 2006

Verander deze eens:

#pasv_enable=NO

in

pasv_enable=YES

(Dus ook "#" weghalen)

Niet vergeten vsftpd opnieuw op te starten na deze wijziging!

Big fellow

sidecar · 3 november 2006

ook dit help niet, heb ook even de volgend settings geprobeert,

en in de poorten ge-forward in de linksys (maar ook zonder success).

pasv_enable=YES

pasv_address=192.168.1.101

pasv_min_port=50000

pasv_max_port=50100

het is toch om gillend gek van te worden.

nou ja, gewoon maar even door modderen, het zal vast wel een keer goed komen.

(in 2012)

**Big fellow** · 3 november 2006

Zet eens in je config file:

pasv_promiscuous=YES

Big fellow

sidecar · 4 november 2006

yep, dat was um.

toen ik dat inschakelde werkte alles goed <img src="/forums/images/graemlins/xyxthumbs.gif" alt="" /> <img src="/forums/images/graemlins/xyxthumbs.gif" alt="" /> <img src="/forums/images/graemlins/xyxthumbs.gif" alt="" />

ik had het niet ingeschakeld vanwege veiligheids redenen,

of valt dat wel mee, en kan ik het rustig laten staan?

of is er een een setting die ik moet veranderen, zodat het weer uit kan?

in iedergeval Heeeeeeeeeeeeeeeeelll erg bedankt,

maakt m'n weekend weer helemaal goed.

sidecar · 5 november 2006

ik kom er net achter dat de firewall van suse ook een pijn in de kont is.

als de firewall word ge-restart heb ik zomaar kans dat de ftp server

niet meer berijkbaar is.

**Big fellow** · 5 november 2006

Die optie zet bepaalde checks uit die fout kunnen gaan als je een FTP server achter een router draait. (Zoals in jouw geval dus.) Wat het probleem is nl. is dat voor de daemon (server) het lijkt alsof de connectie van je router vandaan komt, maar dat is dus niet het geval. Hierdoor gaan sommige checks fout.

Dat brengt mij ook meteen op de volgende vraag... Waarom draai je een firewall op je server als er al een hardware doos voor staat? Of heb je je server in de DMZ gezet? Dat kan je beter niet doen, je kan beter voor elke daemon (server) die je (gaat) draai(en) een port forwarding rule in je router zetten. Zo staat de firewall zover mogelijk "naar buiten".

Big fellow

sidecar · 5 november 2006

nee ik heb niets in de DMZ staan, alles wordt ge port-forward.

mischien is het overdreven paranoia, maar ik ben best wel een beetje een

veiligheid freak.

ik heb meerdere computers draaien op m'n eigen netwerk, en wil niet dat iedere

computer zomaar overal kan komen, zonder toestemming van een andere computer.

dit heb ik om zoveelmogelijk veiligheids aspecten te kunnen testen in een relatief veilige omgeving.

en ik wil me zelf niet voor m'n hoofd slaan als m'n router Gecompromitteerd wordt door een hacker, en ik intern geen maatregelen heb getroffen tenaanzien van veiligheid.

je hoort (ziet) het wel vaker, vanbuiten een fort,

maar zodra je binnen bent kom je overal zomaar bij.

en m'n laatste reden vind ik ook niet verkeerd.

ik ben bezig linux aan het leren, en dan wil het wel eens gebeuren dat ik

door al dat ge-experimenteer, gaten in de veiligheid laat vallen,

zonder dat ik het zelf in de gaten heb.

Lucky_Luke · 5 november 2006

Je moet ook port 20 (FTP-DATA) open zetten, of de port die je in /etc/vsftpd/vsftpd.conf hebt gedefinieerd met

Code:

# Make sure PORT transfer connections originate from port 20 (ftp-data).connect_from_port_20=YES

Dan heb je dat gezeur met die passive ports niet...

sidecar · 6 november 2006

ik heb poort 20 en 21 open staan en ge-forward maar de problemen gingen pas weg toen ik pasv_promiscuous=Yes zetter.

nu alleen nog even uitzoeken waarom ik de firewall uit en weer aan moet zetten

voordat hij ftp doorlaat.

**Big fellow** · 7 november 2006

Ik heb een aantal servers direct aan internet hangen (op een publiek IP adres dus) in een datacenter, en alle veiligheids maatregelen die ik tref komen neer op een zeer simpel principe;

Draai alleen daemons die je echt nodig hebt. Klinkt simpel, maar het komt er in de praktijk op neer dat ik begin met een kale installatie, dan kijk wat er open staat met nmap, en dan alle daemons die een port openen gewoon afsluit en verwijder uit het opstart proces.

Ik draai eigenlijk alleen maar op elke server SSH. Daarnaast afhankelijk van de functie van de server ook nog een mail daemon (postfix) en/of een webserver (Apache). MySQL draai ik ook, maar niet op publieke IP's.

In de 5 jaar die ik ze nu heb draaien, effe op een stukkie hout kloppen, is er nooit een server van mij gehacked. OK, dagelijks krijg ik een 500-1000 pogingen van script kiddies, maar die log ik niet eens meer.....

Simpel gezegt dus, in jouw situatie doe een check op alles wat draait, waar mogelijk verwijder de daemons die je niet nodig hebt, en dan is je server gewoon veilig. Een firewall is dan niet nodig.

De functie van een firewall is om een barriere te plaatsen tussen internet en een onveilige computer. (Lees Windows...)

In jou geval zou je Linux machine 99.9% veilig zijn, en zit er ook nog een hardware firewall tussen (de router). Om dan nog eens een firewall te gaan draaien tussen je linux server en je router.....

Dus verwijderen die firewall! Gewoon goed opletten wat je start en wat je nodig hebt op die linux machine.

Big fellow

sidecar · 8 november 2006

hm,

dan kan ik beter m'n linux fire wall, naar het interne netwerk laten kijken,

daar draait zowiezo altijd minstens één windows machine. :-)

ik zal het eens even proberen zonder wall, bevalt mischien toch wel beter.

**Big fellow** · 8 november 2006

Wat ik dus eerder schreef, je hebt voor je linux machine geen firewall nodig! Je firewall heb je alleen nodig tussen het kwade internet en je windows machine(s).

Big fellow

Inloggen

vsftpd wel intern niet extern

Aanbevolen berichten

sidecar

Big fellow

sidecar

Big fellow

sidecar

Big fellow

sidecar

sidecar

Big fellow

sidecar

Lucky_Luke

sidecar

Big fellow

sidecar

Big fellow

Maak een account aan of log in om te reageren

Account aanmaken

Inloggen

Wie is er online 0 leden

Overig

Activiteit