/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Passiv FTP
Fra : Stefan Bruhn


Dato : 17-02-02 23:17

Hej!

Min ProFTPd virker kun med alm. ftp, ikke med passive mode.
Her er et udtag fra ipchains -L for at bevise at port 20 er åben:

ACCEPT tcp -y---- anywhere anywhere any -> ftp-data
ACCEPT tcp -y---- anywhere anywhere any -> ftp


Alt virker som sagt som det skal med alm, men ved passive ser det sådan
her ud og stopper så:

STATUS:>    Connecting to ftp server 192.168.1.9:21 (ip = 192.168.1.9)...
STATUS:>    Socket connected. Waiting for welcome message...
      220 ProFTPD 1.2.4 Server (ProFTPD Default Installation) [localhost.localdomain]
STATUS:>    Connected. Authenticating...
COMMAND:>   USER *****
      331 Password required for *****.
COMMAND:>   PASS *****
      230 User ***** logged in.
STATUS:>    Login successful.
COMMAND:>   PWD
      257 "/home/*****" is current directory.
STATUS:>    Home directory: /home/*****
COMMAND:>   FEAT
      500 FEAT not understood.
STATUS:>    This site doesn't support the 'features' command.
COMMAND:>   REST 100
      350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
STATUS:>    This site can resume broken downloads.
COMMAND:>   TYPE A
      200 Type set to A.
COMMAND:>   REST 0
      350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
COMMAND:>   PASV
      227 Entering Passive Mode (192,168,1,9,4,38).
COMMAND:>   LIST
STATUS:>    Connecting ftp data socket 192.168.1.9:1062...

Nogen foreslag til hvad der går galt?

--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

 
 
Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 23:33

Stefan Bruhn wrote:

> Hej!
>
> Min ProFTPd virker kun med alm. ftp, ikke med passive mode.
> Her er et udtag fra ipchains -L for at bevise at port 20 er åben:
>
> ACCEPT tcp -y---- anywhere anywhere any -> ftp-data
> ACCEPT tcp -y---- anywhere anywhere any -> ftp

> Nogen foreslag til hvad der går galt?


ftp-data bruges til den normalt ftp mode, denne går fra ftp server til
klienten. I passive-mode bruges en tilfældig høj port fra klient til ftp
server. Endvidere bør dit reglsæt se sådan ud:

ACCEPT tcp -y---- klient server ftp-data -> any
ACCEPT tcp -y---- klient server any -> ftp

For passive-mode:

ACCEPT tcp -y---- klient server ftp-data -> any
ACCEPT tcp -y---- klient server any -> any

Men generelt bør "any" nok rettes til >1023 :)


Stefan Bruhn (17-02-2002)
Kommentar
Fra : Stefan Bruhn


Dato : 17-02-02 23:47

On Sun, 17 Feb 2002 23:32:33 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>Stefan Bruhn wrote:
>
>> Hej!
>>
>> Min ProFTPd virker kun med alm. ftp, ikke med passive mode.
>> Her er et udtag fra ipchains -L for at bevise at port 20 er åben:
>>
>> ACCEPT tcp -y---- anywhere anywhere any -> ftp-data
>> ACCEPT tcp -y---- anywhere anywhere any -> ftp
>
>> Nogen foreslag til hvad der går galt?
>
>
>ftp-data bruges til den normalt ftp mode, denne går fra ftp server til
>klienten. I passive-mode bruges en tilfældig høj port fra klient til ftp
>server. Endvidere bør dit reglsæt se sådan ud:
>
>ACCEPT tcp -y---- klient server ftp-data -> any
>ACCEPT tcp -y---- klient server any -> ftp
>
>For passive-mode:
>
>ACCEPT tcp -y---- klient server ftp-data -> any
>ACCEPT tcp -y---- klient server any -> any
>
>Men generelt bør "any" nok rettes til >1023 :)

Ok, så har jeg fuldstændigt misforstået passive transfer ;)
Alm. FTP virker uden den der ftp-data ting i ipchains så jeg gik ud fra
den havde med passive at gøre, men hvis jeg stort set skal åbne mit
system helt, så tror jeg hellere jeg bare vil sige at folk ikke skal
bruge passive ftp.

Jeg takker for forklaringen!

--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 01:26

Stefan Bruhn wrote:

> Ok, så har jeg fuldstændigt misforstået passive transfer ;)


Det samme havde jeg de først 2 år jeg rodede med sikkerhed. Nu er det
Microsofts protokoller der driller :)

> Alm. FTP virker uden den der ftp-data ting i ipchains så jeg gik ud fra
> den havde med passive at gøre, men hvis jeg stort set skal åbne mit


Er det ikke fordi du kører med CONFIG_IP_MASQUERADE, denne sørger for det.

> system helt, så tror jeg hellere jeg bare vil sige at folk ikke skal
> bruge passive ftp.


Hvis du mener dit system står helt åbent tror jeg du har misforstået noget!

Du har vel ikke nogle services der skal beskyttes (og som ikke kan kører
på localhost) på dine høje porte?

Hvis du vedligger hele dine filter regler i dk.edb.sikkerhed, kan vi
evt. se om der skal være sneget sig en fejl ind eller to.


> Jeg takker for forklaringen!


Ok, "Building Internet Firewalls" fra O'Reilly kan anbefaldes :)




Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408893
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste