Kandu.dk - Passiv FTP


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Passiv FTP
Fra : Stefan Bruhn

Dato : 17-02-02 23:17

Hej!

Min ProFTPd virker kun med alm. ftp, ikke med passive mode.
Her er et udtag fra ipchains -L for at bevise at port 20 er åben:

ACCEPT tcp -y---- anywhere anywhere any -> ftp-data
ACCEPT tcp -y---- anywhere anywhere any -> ftp

Alt virker som sagt som det skal med alm, men ved passive ser det sådan
her ud og stopper så:

STATUS:>    Connecting to ftp server 192.168.1.9:21 (ip = 192.168.1.9)...
STATUS:>    Socket connected. Waiting for welcome message...
      220 ProFTPD 1.2.4 Server (ProFTPD Default Installation) [localhost.localdomain]
STATUS:>    Connected. Authenticating...
COMMAND:>   USER *****
      331 Password required for *****.
COMMAND:>   PASS *****
      230 User ***** logged in.
STATUS:>    Login successful.
COMMAND:>   PWD
      257 "/home/*****" is current directory.
STATUS:>    Home directory: /home/*****
COMMAND:>   FEAT
      500 FEAT not understood.
STATUS:>    This site doesn't support the 'features' command.
COMMAND:>   REST 100
      350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
STATUS:>    This site can resume broken downloads.
COMMAND:>   TYPE A
      200 Type set to A.
COMMAND:>   REST 0
      350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
COMMAND:>   PASV
      227 Entering Passive Mode (192,168,1,9,4,38).
COMMAND:>   LIST
STATUS:>    Connecting ftp data socket 192.168.1.9:1062...

Nogen foreslag til hvad der går galt?

--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

Christian E. Lysel (17-02-2002)

Kommentar
Fra : Christian E. Lysel

Dato : 17-02-02 23:33

Stefan Bruhn wrote:

> Hej!
>
> Min ProFTPd virker kun med alm. ftp, ikke med passive mode.
> Her er et udtag fra ipchains -L for at bevise at port 20 er åben:
>
> ACCEPT tcp -y---- anywhere anywhere any -> ftp-data
> ACCEPT tcp -y---- anywhere anywhere any -> ftp

> Nogen foreslag til hvad der går galt?

ftp-data bruges til den normalt ftp mode, denne går fra ftp server til
klienten. I passive-mode bruges en tilfældig høj port fra klient til ftp
server. Endvidere bør dit reglsæt se sådan ud:

ACCEPT tcp -y---- klient server ftp-data -> any
ACCEPT tcp -y---- klient server any -> ftp

For passive-mode:

ACCEPT tcp -y---- klient server ftp-data -> any
ACCEPT tcp -y---- klient server any -> any

Men generelt bør "any" nok rettes til >1023 :)

Stefan Bruhn (17-02-2002)

Kommentar
Fra : Stefan Bruhn

Dato : 17-02-02 23:47

On Sun, 17 Feb 2002 23:32:33 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>Stefan Bruhn wrote:
>
>> Hej!
>>
>> Min ProFTPd virker kun med alm. ftp, ikke med passive mode.
>> Her er et udtag fra ipchains -L for at bevise at port 20 er åben:
>>
>> ACCEPT tcp -y---- anywhere anywhere any -> ftp-data
>> ACCEPT tcp -y---- anywhere anywhere any -> ftp
>
>> Nogen foreslag til hvad der går galt?
>
>
>ftp-data bruges til den normalt ftp mode, denne går fra ftp server til
>klienten. I passive-mode bruges en tilfældig høj port fra klient til ftp
>server. Endvidere bør dit reglsæt se sådan ud:
>
>ACCEPT tcp -y---- klient server ftp-data -> any
>ACCEPT tcp -y---- klient server any -> ftp
>
>For passive-mode:
>
>ACCEPT tcp -y---- klient server ftp-data -> any
>ACCEPT tcp -y---- klient server any -> any
>
>Men generelt bør "any" nok rettes til >1023 :)

Ok, så har jeg fuldstændigt misforstået passive transfer ;)
Alm. FTP virker uden den der ftp-data ting i ipchains så jeg gik ud fra
den havde med passive at gøre, men hvis jeg stort set skal åbne mit
system helt, så tror jeg hellere jeg bare vil sige at folk ikke skal
bruge passive ftp.

Jeg takker for forklaringen!

--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

Christian E. Lysel (18-02-2002)

Kommentar
Fra : Christian E. Lysel

Dato : 18-02-02 01:26

Stefan Bruhn wrote:

> Ok, så har jeg fuldstændigt misforstået passive transfer ;)

Det samme havde jeg de først 2 år jeg rodede med sikkerhed. Nu er det
Microsofts protokoller der driller :)

> Alm. FTP virker uden den der ftp-data ting i ipchains så jeg gik ud fra
> den havde med passive at gøre, men hvis jeg stort set skal åbne mit

Er det ikke fordi du kører med CONFIG_IP_MASQUERADE, denne sørger for det.

> system helt, så tror jeg hellere jeg bare vil sige at folk ikke skal
> bruge passive ftp.

Hvis du mener dit system står helt åbent tror jeg du har misforstået noget!

Du har vel ikke nogle services der skal beskyttes (og som ikke kan kører
på localhost) på dine høje porte?

Hvis du vedligger hele dine filter regler i dk.edb.sikkerhed, kan vi
evt. se om der skal være sneget sig en fejl ind eller to.

> Jeg takker for forklaringen!

Ok, "Building Internet Firewalls" fra O'Reilly kan anbefaldes :)

Søg

Reklame

Statistik

Spørgsmål :	177512
Tips :	31968
Nyheder :	719565
Indlæg :	6408599
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste