Hi,

könnte es sein dass du auf deinem Server ne Firewall installiert hast, die bestimmte Ports blockiert? Der Passive-Mode ist auf diverse andere Ports ausser 21 angewiesen.

Könntest du deinen FTP-Server und den FileZilla mal auf Debugausgaben schalten? Die Infos aus den Logs oben sind sehr dürftig.

Gruß,
BK

Firewall ist drinnen, liegt auch genau zwischen dem letzten funktionierenden connect und den nicht funktionierenden. hab in dieser Zeit leider sehr viel geändert, weshalb das problem nicht einfach zu lokalisieren ist.

Mein Firewall:

Code :

1 2 3 4 5 6 7 8 9 10 11 12 13 14

VServer     Sorter  D-IP    S-IP/NM     D-Port  S-Port  Protocol    Action   vserver_21604_001873    0   ***.***.153.174     0.0.0.0     80      ALL     ACCEPT   vserver_21604_001873    1   ***.***.153.174     0.0.0.0         80  ALL     ACCEPT   vserver_21604_001873    2   ***.***.153.174     0.0.0.0     20      tcp     ACCEPT   vserver_21604_001873    3   ***.***.153.174     0.0.0.0         20  tcp     ACCEPT   vserver_21604_001873    4   ***.***.153.174     0.0.0.0     21      tcp     ACCEPT   vserver_21604_001873    5   ***.***.153.174     0.0.0.0         21  tcp     ACCEPT   vserver_21604_001873    6   ***.***.153.174     0.0.0.0     22      tcp     ACCEPT   vserver_21604_001873    7   ***.***.153.174     0.0.0.0         22  tcp     ACCEPT   vserver_21604_001873    8   ***.***.153.174     0.0.0.0     3690        ALL     ACCEPT   vserver_21604_001873    9   ***.***.153.174     0.0.0.0         3690    ALL     ACCEPT   vserver_21604_001873    11  ***.***.153.174     0.0.0.0     443         tcp     DROP     vserver_21604_001873    12  ***.***.153.174     0.0.0.0         443     tcp     DROP     vserver_21604_001873    99  ***.***.153.174     0.0.0.0             ALL     DROP

Das ganze ist in der EDIS Server Admin panele konfiguriert worden. Hab leider keine ahung was D-Port und S-Port genau ist, hab auch nichts dazu gefunden. Jedenfalls blockt er alles bis auf Port 80, 20, 21, 22 und 3690.

Was für ports benötigt proftpd denn noch?

Wegen debug ausgabe, stell ich das in der proftpd.conf ein oder ganz wo anders.

mfg. pointhi

Hi,

also wenn du nur die oben genannten Ports frei hast, dann musst du deinem FileZilla sagen dass er den Active-Mode benutzen soll (Ports 20 und 21).

Ansonsten musst du schauen, welche Ports in deinem proftpd für den Passive Mode verwendet werden und die auch freischalten.

Warum hast du eigentlich alle Ports geblockt? Was bringt dir das?

Gruß,
BK

Das ganze ist ja ein V-Server und ich bin keiner der irgendwann wegen offenen ports unwissentlich ein botnetz betreiben will. Ich hab http, ssh, ftp und subversion darauf installirt, mysql brauch ich extern nicht. mail und https villeicht später.

Habs probiert Aktiv Modus funktioniert. Hab auch den Passiv modus zum laufen gebracht:

Hab dabei folgende Zeile hinzugefügt:

Code :

1	PassivePorts                    65530 65534

Auch hab ich im Firewall diese Ports freigeschaltet:

Code :

1 2 3 4 5 6 7 8 9 10

vserver_21604_001873    71  ***.***.153.174     0.0.0.0     65530       tcp     ACCEPT   vserver_21604_001873    72  ***.***.153.174     0.0.0.0         65530   tcp     ACCEPT   vserver_21604_001873    73  ***.***.153.174     0.0.0.0     65531       tcp     ACCEPT   vserver_21604_001873    74  ***.***.153.174     0.0.0.0         65531   tcp     ACCEPT   vserver_21604_001873    75  ***.***.153.174     0.0.0.0     65532       tcp     ACCEPT   vserver_21604_001873    76  ***.***.153.174     0.0.0.0         65532   tcp     ACCEPT   vserver_21604_001873    77  ***.***.153.174     0.0.0.0     65533       tcp     ACCEPT   vserver_21604_001873    78  ***.***.153.174     0.0.0.0         65533   tcp     ACCEPT   vserver_21604_001873    79  ***.***.153.174     0.0.0.0     65534       tcp     ACCEPT   vserver_21604_001873    81  ***.***.153.174     0.0.0.0         65534   tcp     ACCEPT

Das reicht für mich da ich der einzige benutzer mit FTP zugang bin

nochmal danke für den tip

mfg. pointhi

Hi pointhi,

ich sags immer wieder:
Was bringt es dir, geschlossene Ports per Firewall zu sperren? Wenn an einem Port kein Programm hängt, dann kann der Hacker noch so ein Genie sein, er wird da nicht rein kommen. Kannst dir vorstellen wie ein Bunker an dem es mehrere Eingänge gibt. Durch die Wand kommt er nicht (Port XYZ), nur durch die Eingänge (Apache, Postfix, MySQL) wenn diese nicht anständig gesichert sind.

Firewalls sind nur Snake-Oil, kümmere dich lieber um die Sicherung deiner Dienste als um das sinnlose rumspielen mit deiner Firewall weil ein legitimes Programm doch nicht so ganz will.

Wenn ein Hacker in einem Server einbricht, dann ist das erste was er macht sich erstmal root-Rechte zu besorgen. Dann kann er sich seine Ports (die er normalerweise eh nicht mehr braucht) selbst an der Firewall freischalten.

Nur meine Gedanken zu dem Thema Firewalls

Gruß,
BK

An der Firewall kann der hacker gar nicht herumspielen da die extern konfiguriert wird. , auserdem hab ich mail z.b. oben, konnte es aber nicht richtig installieren und deinstallation wollte er auch nicht machen. Das wäre dann z.b. ein sicherheitsrisiko, und es gibt dienste, z.b. proftpd die ports nutzen von denen ich nichts wusste, bzw. dienste die ich versehentlich mitinstalliert habe. Und alle professionellen Firewalls blocken auch alles bis auf die paar dienste die sie benötigen. Das ganze ist ja kein Router wo spiele darüber gespielt werden, ect.
Und wenn ich sudo auf dem server zum laufen gebracht habe werd ich Rootlogin bei SSH wie bei FTP ausschalten. Apache und PHP hab ich auch so gut wie möglich für mich abgesichert und MySql ist sowieso nicht extern erreichbar. Wenn ich einstellungen finde die für die sicherheit dienlich sind finde werde ich sie natürlich dementsprechend ändern, aber der aktuelle status sollte meiner meinung schon relativ hacksicher sein, im gegensatz zu vielen anderen v-server an denen Menschen mit weniger wissen arbeiten.

Wenn wer gute tipps für die sicherheit der dienste hat kann sie gerne nennen, aber das sollte derzeit soweit reichen.

mfg. pointhi