10
Anmeldung an FTP shceitert von Außen
Hallo,
ich habe vsftpd auf nem Linux-Server am laufen. Vom internen Netz (10.0.0.0/24) kann ich den auch problemlos erreichen und mich anmelden. Von aussen kommt zwar die Loginmaske und wenn man das PW angibt, passiert nichts und es kommt ein Timeout. Wenn man ein falsches PW eingibt, bekommt man einen Fehler. Die Portweiterleitung am Cisco scheint also zu funktionieren.
Was ist hier denn faul?
Oder ist das wieder ein Cisco-Problem?
LG Marco
ich habe vsftpd auf nem Linux-Server am laufen. Vom internen Netz (10.0.0.0/24) kann ich den auch problemlos erreichen und mich anmelden. Von aussen kommt zwar die Loginmaske und wenn man das PW angibt, passiert nichts und es kommt ein Timeout. Wenn man ein falsches PW eingibt, bekommt man einen Fehler. Die Portweiterleitung am Cisco scheint also zu funktionieren.
ssl_sslv2=YES
ssl_enable=YES
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
Das hier ist doch eig. für aktives FTP, was aber nicht über NAT geht
connect_from_port_20=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=NO
pasv_min_port=5000
pasv_max_port=5999
pasv_enable=YESWas ist hier denn faul?
Oder ist das wieder ein Cisco-Problem?
LG Marco
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 353942
Url: https://administrator.de/forum/anmeldung-an-ftp-shceitert-von-aussen-353942.html
Ausgedruckt am: 26.12.2024 um 20:12 Uhr
10 Kommentare
Neuester Kommentar
Hi
Du hast also die Ports 20,21,5000-5999 Freigegeben?
Was steht in der Log sowie Firewall?
IPv4 & 6 Aktiv?
evtl Homedir mit vielen Daten wo das Listing übers Netz zu Lange dauert?
Du hast also die Ports 20,21,5000-5999 Freigegeben?
Was steht in der Log sowie Firewall?
IPv4 & 6 Aktiv?
evtl Homedir mit vielen Daten wo das Listing übers Netz zu Lange dauert?
ich will passives FTP nutzen. Daher ist Port 21 weitergeleitet. Ich habe keine IPv6. Homedir hat nicht so viele Daten. Wo liegen die Logs?
Wenn du passives FTP nutzen willst, musst du auch alle in der konfiguration angegebenen passiven Ports (5000-5999) per NAT auf dem Cisco Router zum Server weiterleiten.
siehe zahlreiche erklärungen im netz:
https://www.hosteurope.de/faq/webhosting/hochladen-von-webinhalten-ftp/u ...
Welchen FTP Client benutzst du? die meisten geben ja recht ausführlich auskunft welches Kommando als letzen gesendet / empfangen wurde, vermutlich ist bei dir das letze Kommando vom Client "Command: PASV" - dannach bekommt er vermutlich keine Antwort mehr....
siehe zahlreiche erklärungen im netz:
https://www.hosteurope.de/faq/webhosting/hochladen-von-webinhalten-ftp/u ...
Welchen FTP Client benutzst du? die meisten geben ja recht ausführlich auskunft welches Kommando als letzen gesendet / empfangen wurde, vermutlich ist bei dir das letze Kommando vom Client "Command: PASV" - dannach bekommt er vermutlich keine Antwort mehr....
Oh, und deaktiviere um himmels willen SSLv2 - ist ein altes gammel Protokoll
https://www.heise.de/security/meldung/DROWN-Angriff-SSL-Protokoll-aus-de ...
https://www.heise.de/security/meldung/DROWN-Angriff-SSL-Protokoll-aus-de ...
Hallo Marco,
Ich habe irgendwo einen FTP-Server, den ich über zwei von mir etablierte, hintereinandergeschaltete VPN-Tunnel erreichen kann.
Habe ich nur den ersten Tunnel dazwischen, geht die Verbindung wie gewohnt.
Gehe ich über beide Tunnel und bin dabei auf die am "Zwischenrechner" eingerichteten Weiterleitungen angewiesen, scheitert der Login am FTP, es sei denn ich ändere eine Einstellung im FTP-Client.
Ich nutze dazu WinSCP.
Die Einstellung am Client ist dort hier zu finden:
Login (Auswahlliste der gespeicherten Verbindungen)
Verbindung selektieren
[Edit]
[Advanced...]
Environment
-FTP
- - Force IP address for passive mode connections: On
Dort muss ich die Einstellung von "Auto" auf "On" ändern.
https://winscp.net/eng/docs/ui_login_ftp
Ich weiß nicht mehr genau, wie ich auf diese Lösung kam und habe mich auch nicht darum bemüht das Was und Warum zu verstehen, daher kann ich nicht sicher sagen, ob das auch für Dich eine Lösung wäre und schon gar nicht, wo und wie sich diese WinSCP-Einstellung in einer Linux-Shell wiederfindet, aber vielleicht nutzt Dir dieser Ansatz dennoch etwas.
Im Zweifelsfall könntest Du ja eine Verbindung per WinSCP mit genannten Einstellungen (Auto und On) ausporbieren, um zu sehen, ob es mal scheitert und mal funktioniert.
Gruß Frank
Anmeldung an FTP shceitert von Außen
Du shcreibst offensichtlich zu viele Shell-Skripte.Ich habe irgendwo einen FTP-Server, den ich über zwei von mir etablierte, hintereinandergeschaltete VPN-Tunnel erreichen kann.
Habe ich nur den ersten Tunnel dazwischen, geht die Verbindung wie gewohnt.
Gehe ich über beide Tunnel und bin dabei auf die am "Zwischenrechner" eingerichteten Weiterleitungen angewiesen, scheitert der Login am FTP, es sei denn ich ändere eine Einstellung im FTP-Client.
Ich nutze dazu WinSCP.
Die Einstellung am Client ist dort hier zu finden:
Login (Auswahlliste der gespeicherten Verbindungen)
Verbindung selektieren
[Edit]
[Advanced...]
Environment
-FTP
- - Force IP address for passive mode connections: On
Dort muss ich die Einstellung von "Auto" auf "On" ändern.
https://winscp.net/eng/docs/ui_login_ftp
Ich weiß nicht mehr genau, wie ich auf diese Lösung kam und habe mich auch nicht darum bemüht das Was und Warum zu verstehen, daher kann ich nicht sicher sagen, ob das auch für Dich eine Lösung wäre und schon gar nicht, wo und wie sich diese WinSCP-Einstellung in einer Linux-Shell wiederfindet, aber vielleicht nutzt Dir dieser Ansatz dennoch etwas.
Im Zweifelsfall könntest Du ja eine Verbindung per WinSCP mit genannten Einstellungen (Auto und On) ausporbieren, um zu sehen, ob es mal scheitert und mal funktioniert.
Gruß Frank
Du hast also nur Port 21 Freigegeben und den Rest nicht obwohl du diese in der Config zum nutzten Angibst?
Dann ist es auch kein Wunder wenn es zu Problemen kommt...
Dann ist es auch kein Wunder wenn es zu Problemen kommt...
ich habe jetzt mal Port 5000-5010 angegeben und weitergeleitet. Ist das überhaupt genug? In der Firewall selbstverständlich auch freigegeben. Leider das selbe Ergebnis. Error 425. An der IPtables vom Server muss man ja denk ich inchts ändern, denn intern funktioniert alles. Stimmt das spweit? Ich habe dort auch nichts eingerichtet.
Update:
Habe das hier in die Config eingefügt und es tut:
pasv_promiscuous=YES
Update:
Habe das hier in die Config eingefügt und es tut:
pasv_promiscuous=YES
Nun im 1ten Post hab ich die Nötigen Ports/Bereiche genannt dazu und du hast nur ein Bruchteil Angegeben der Freigegeben ist.
Wenn dies auf den nicht Freigegeben Port die Verbindung Herstellt bleibt es weiterhin bei den Problemen.
An der Lokalen Firewall muss die Freigabe/Verbindungsmöglichkeit natürlich gehen was in der Regel auch geht wenn nicht jemand den Server Abgeriegelt hat.
Aber dies ist ja Fix nachgeschaut welche Regeln es gibt auf dem System.
Da es Intern ja geht scheint des Problem weiterhin an den nicht Freigegeben Ports/Bereiche zu liegen.
Wenn dies auf den nicht Freigegeben Port die Verbindung Herstellt bleibt es weiterhin bei den Problemen.
An der Lokalen Firewall muss die Freigabe/Verbindungsmöglichkeit natürlich gehen was in der Regel auch geht wenn nicht jemand den Server Abgeriegelt hat.
Aber dies ist ja Fix nachgeschaut welche Regeln es gibt auf dem System.
Da es Intern ja geht scheint des Problem weiterhin an den nicht Freigegeben Ports/Bereiche zu liegen.
MIr war unklar, dass da noch andere Ports genutzt werden. Diese habe ich nun auch freigeben und jetzt tuts.
Die Ports im 5xxx Bereich sind Dynamische für die Kommunikation.
Auch wenn die Verbindungsaushandlung mit Port 21 geklappt hat, wurde jedoch vom Server gesagt wir Tauschen nun über Port X weiter aus und da der Router diese Blockiert hat ist es immer zum Timeout gekommen was im Lokalen Netz ja nicht Blockiert wird.
Auch wenn die Verbindungsaushandlung mit Port 21 geklappt hat, wurde jedoch vom Server gesagt wir Tauschen nun über Port X weiter aus und da der Router diese Blockiert hat ist es immer zum Timeout gekommen was im Lokalen Netz ja nicht Blockiert wird.
