Like Tree1Danke
  • 1 Beitrag von Bratkartoffel
ERLEDIGT
JA
ANTWORTEN
6
ZUGRIFFE
3116
EMPFEHLEN
  • An Twitter übertragen
  • An Facebook übertragen
  1. #1
    pointhi ist offline Mitglied Gold
    Registriert seit
    Jul 2011
    Beiträge
    104
    Hy,
    ich hab einen V-Linux server wobei FTP schon einmal funktioniert hat. Komischerweise funktionierte FTP nach einem Update nicht mehr. Ich hab proftpd schon neu installiert und konfiguriert, es kommt aber immer das gleiche problem. Das ist:

    ich kann mich mit meinen Daten problemlos anmelden, es kommt auch eine Bestätigung, aber beim abrufen der FTP-Daten gibt es einen Time-Out fehler.

    Die log eines solchen zugriffes:

    Code :
    1
    2
    3
    4
    
    Feb 10 22:23:05 vserver proftpd[25856] vserver (***.***.72.14[***.***.72.14]): FTP session opened.
    Feb 10 22:23:08 vserver proftpd[25856] vserver (***.***.72.14[***.***.72.14]): USER pointhi: Login successful.
    Feb 10 22:24:00 vserver proftpd[25692] vserver (***.***.72.14[***.***.72.14]): Data transfer stall timeout: 600 seconds
    Feb 10 22:24:00 vserver proftpd[25692] vserver (***.***.72.14[***.***.72.14]): FTP session closed.

    Und die meldungen in FileZilla:

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    
    Status: Verbinde mit ***.***.153.174:21...
    Status: Verbindung hergestellt, warte auf Willkommensnachricht...
    Antwort:    220 ProFTPD 1.3.3a Server (pointhi's Debian FTP-Server) [***.***.153.174]
    Befehl: USER thomas
    Antwort:    331 Password required for pointhi
    Befehl: PASS **********
    Antwort:    230 User pointhi logged in
    Befehl: OPTS UTF8 ON
    Antwort:    200 UTF8 set to on
    Status: Verbunden
    Status: Empfange Verzeichnisinhalt...
    Befehl: PWD
    Antwort:    257 "/home/pointhi" is the current directory
    Befehl: TYPE I
    Antwort:    200 Type set to I
    Befehl: PASV
    Antwort:    227 Entering Passive Mode (***,***,153,174,183,21).
    Befehl: MLSD
    Fehler: Zeitüberschreitung der Verbindung
    Fehler: Verzeichnisinhalt konnte nicht empfangen werden

    Nach diversen umkonfigurationen, ect. bin ich komplett ratlos was der grund für den fehler ist.

    mfg. pointhi
     

  2. #2
    Avatar von Bratkartoffel
    Bratkartoffel ist offline gebratene Kartoffel
    tutorials.de Premium-User
    Registriert seit
    Jun 2007
    Ort
    Passau (Niederbayern)
    Beiträge
    1.758
    Hi,

    könnte es sein dass du auf deinem Server ne Firewall installiert hast, die bestimmte Ports blockiert? Der Passive-Mode ist auf diverse andere Ports ausser 21 angewiesen.

    Könntest du deinen FTP-Server und den FileZilla mal auf Debugausgaben schalten? Die Infos aus den Logs oben sind sehr dürftig.

    Gruß,
    BK
    pointhi bedankt sich. 
    Bitte erledigte Threads als "Erledigt" markieren.

    "Though a program be but three lines long, someday it will have to be maintained.''
    -- Geoffrey James, "The Tao of Programming"


    Meine Projekte sind OpenSource auf Github

  3. #3
    pointhi ist offline Mitglied Gold
    Registriert seit
    Jul 2011
    Beiträge
    104
    Firewall ist drinnen, liegt auch genau zwischen dem letzten funktionierenden connect und den nicht funktionierenden. hab in dieser Zeit leider sehr viel geändert, weshalb das problem nicht einfach zu lokalisieren ist.

    Mein Firewall:

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    
    VServer     Sorter  D-IP    S-IP/NM     D-Port  S-Port  Protocol    Action  
    vserver_21604_001873    0   ***.***.153.174     0.0.0.0     80      ALL     ACCEPT  
    vserver_21604_001873    1   ***.***.153.174     0.0.0.0         80  ALL     ACCEPT  
    vserver_21604_001873    2   ***.***.153.174     0.0.0.0     20      tcp     ACCEPT  
    vserver_21604_001873    3   ***.***.153.174     0.0.0.0         20  tcp     ACCEPT  
    vserver_21604_001873    4   ***.***.153.174     0.0.0.0     21      tcp     ACCEPT  
    vserver_21604_001873    5   ***.***.153.174     0.0.0.0         21  tcp     ACCEPT  
    vserver_21604_001873    6   ***.***.153.174     0.0.0.0     22      tcp     ACCEPT  
    vserver_21604_001873    7   ***.***.153.174     0.0.0.0         22  tcp     ACCEPT  
    vserver_21604_001873    8   ***.***.153.174     0.0.0.0     3690        ALL     ACCEPT  
    vserver_21604_001873    9   ***.***.153.174     0.0.0.0         3690    ALL     ACCEPT  
    vserver_21604_001873    11  ***.***.153.174     0.0.0.0     443         tcp     DROP    
    vserver_21604_001873    12  ***.***.153.174     0.0.0.0         443     tcp     DROP    
    vserver_21604_001873    99  ***.***.153.174     0.0.0.0             ALL     DROP

    Das ganze ist in der EDIS Server Admin panele konfiguriert worden. Hab leider keine ahung was D-Port und S-Port genau ist, hab auch nichts dazu gefunden. Jedenfalls blockt er alles bis auf Port 80, 20, 21, 22 und 3690.

    Was für ports benötigt proftpd denn noch?

    Wegen debug ausgabe, stell ich das in der proftpd.conf ein oder ganz wo anders.

    mfg. pointhi
     

  4. #4
    Avatar von Bratkartoffel
    Bratkartoffel ist offline gebratene Kartoffel
    tutorials.de Premium-User
    Registriert seit
    Jun 2007
    Ort
    Passau (Niederbayern)
    Beiträge
    1.758
    Hi,

    also wenn du nur die oben genannten Ports frei hast, dann musst du deinem FileZilla sagen dass er den Active-Mode benutzen soll (Ports 20 und 21).

    Ansonsten musst du schauen, welche Ports in deinem proftpd für den Passive Mode verwendet werden und die auch freischalten.

    Warum hast du eigentlich alle Ports geblockt? Was bringt dir das?

    Gruß,
    BK
     
    Bitte erledigte Threads als "Erledigt" markieren.

    "Though a program be but three lines long, someday it will have to be maintained.''
    -- Geoffrey James, "The Tao of Programming"


    Meine Projekte sind OpenSource auf Github

  5. #5
    pointhi ist offline Mitglied Gold
    Registriert seit
    Jul 2011
    Beiträge
    104
    Das ganze ist ja ein V-Server und ich bin keiner der irgendwann wegen offenen ports unwissentlich ein botnetz betreiben will. Ich hab http, ssh, ftp und subversion darauf installirt, mysql brauch ich extern nicht. mail und https villeicht später.

    Habs probiert Aktiv Modus funktioniert. Hab auch den Passiv modus zum laufen gebracht:

    Hab dabei folgende Zeile hinzugefügt:

    Code :
    1
    
    PassivePorts                    65530 65534

    Auch hab ich im Firewall diese Ports freigeschaltet:

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    
    vserver_21604_001873    71  ***.***.153.174     0.0.0.0     65530       tcp     ACCEPT  
    vserver_21604_001873    72  ***.***.153.174     0.0.0.0         65530   tcp     ACCEPT  
    vserver_21604_001873    73  ***.***.153.174     0.0.0.0     65531       tcp     ACCEPT  
    vserver_21604_001873    74  ***.***.153.174     0.0.0.0         65531   tcp     ACCEPT  
    vserver_21604_001873    75  ***.***.153.174     0.0.0.0     65532       tcp     ACCEPT  
    vserver_21604_001873    76  ***.***.153.174     0.0.0.0         65532   tcp     ACCEPT  
    vserver_21604_001873    77  ***.***.153.174     0.0.0.0     65533       tcp     ACCEPT  
    vserver_21604_001873    78  ***.***.153.174     0.0.0.0         65533   tcp     ACCEPT  
    vserver_21604_001873    79  ***.***.153.174     0.0.0.0     65534       tcp     ACCEPT  
    vserver_21604_001873    81  ***.***.153.174     0.0.0.0         65534   tcp     ACCEPT

    Das reicht für mich da ich der einzige benutzer mit FTP zugang bin

    nochmal danke für den tip

    mfg. pointhi
    Geändert von pointhi (13.02.12 um 19:55 Uhr)
     

  6. #6
    Avatar von Bratkartoffel
    Bratkartoffel ist offline gebratene Kartoffel
    tutorials.de Premium-User
    Registriert seit
    Jun 2007
    Ort
    Passau (Niederbayern)
    Beiträge
    1.758
    Hi pointhi,

    ich sags immer wieder:
    Was bringt es dir, geschlossene Ports per Firewall zu sperren? Wenn an einem Port kein Programm hängt, dann kann der Hacker noch so ein Genie sein, er wird da nicht rein kommen. Kannst dir vorstellen wie ein Bunker an dem es mehrere Eingänge gibt. Durch die Wand kommt er nicht (Port XYZ), nur durch die Eingänge (Apache, Postfix, MySQL) wenn diese nicht anständig gesichert sind.

    Firewalls sind nur Snake-Oil, kümmere dich lieber um die Sicherung deiner Dienste als um das sinnlose rumspielen mit deiner Firewall weil ein legitimes Programm doch nicht so ganz will.

    Wenn ein Hacker in einem Server einbricht, dann ist das erste was er macht sich erstmal root-Rechte zu besorgen. Dann kann er sich seine Ports (die er normalerweise eh nicht mehr braucht) selbst an der Firewall freischalten.

    Nur meine Gedanken zu dem Thema Firewalls

    Gruß,
    BK
     
    Bitte erledigte Threads als "Erledigt" markieren.

    "Though a program be but three lines long, someday it will have to be maintained.''
    -- Geoffrey James, "The Tao of Programming"


    Meine Projekte sind OpenSource auf Github

  7. #7
    pointhi ist offline Mitglied Gold
    Registriert seit
    Jul 2011
    Beiträge
    104
    An der Firewall kann der hacker gar nicht herumspielen da die extern konfiguriert wird. , auserdem hab ich mail z.b. oben, konnte es aber nicht richtig installieren und deinstallation wollte er auch nicht machen. Das wäre dann z.b. ein sicherheitsrisiko, und es gibt dienste, z.b. proftpd die ports nutzen von denen ich nichts wusste, bzw. dienste die ich versehentlich mitinstalliert habe. Und alle professionellen Firewalls blocken auch alles bis auf die paar dienste die sie benötigen. Das ganze ist ja kein Router wo spiele darüber gespielt werden, ect.
    Und wenn ich sudo auf dem server zum laufen gebracht habe werd ich Rootlogin bei SSH wie bei FTP ausschalten. Apache und PHP hab ich auch so gut wie möglich für mich abgesichert und MySql ist sowieso nicht extern erreichbar. Wenn ich einstellungen finde die für die sicherheit dienlich sind finde werde ich sie natürlich dementsprechend ändern, aber der aktuelle status sollte meiner meinung schon relativ hacksicher sein, im gegensatz zu vielen anderen v-server an denen Menschen mit weniger wissen arbeiten.

    Wenn wer gute tipps für die sicherheit der dienste hat kann sie gerne nennen, aber das sollte derzeit soweit reichen.

    mfg. pointhi
     

Ähnliche Themen

  1. Antworten: 1
    Letzter Beitrag: 16.01.11, 23:13
  2. Nicht mehr einloggen
    Von sight011 im Forum Microsoft Windows
    Antworten: 10
    Letzter Beitrag: 03.05.10, 21:38
  3. Antworten: 6
    Letzter Beitrag: 20.01.08, 10:21
  4. Antworten: 4
    Letzter Beitrag: 17.02.05, 17:46
  5. nach upgrade installation funkt. camera nicht mehr
    Von Maffy im Forum Videoschnitt, Videotechnik & -produktion
    Antworten: 19
    Letzter Beitrag: 18.09.02, 07:57