1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

proftpd funktioniert nicht mehr (einloggen funkt, verzeichnis wird aber nicht angz.)

Dieses Thema im Forum "Linux & Unix" wurde erstellt von pointhi, 10. Februar 2012.

  1. pointhi

    pointhi Erfahrenes Mitglied

    Hy,
    ich hab einen V-Linux server wobei FTP schon einmal funktioniert hat. Komischerweise funktionierte FTP nach einem Update nicht mehr. Ich hab proftpd schon neu installiert und konfiguriert, es kommt aber immer das gleiche problem. Das ist:

    ich kann mich mit meinen Daten problemlos anmelden, es kommt auch eine Bestätigung, aber beim abrufen der FTP-Daten gibt es einen Time-Out fehler.

    Die log eines solchen zugriffes:

    Code (Text):
    1. Feb 10 22:23:05 vserver proftpd[25856] vserver (***.***.72.14[***.***.72.14]): FTP session opened.
    2. Feb 10 22:23:08 vserver proftpd[25856] vserver (***.***.72.14[***.***.72.14]): USER pointhi: Login successful.
    3. Feb 10 22:24:00 vserver proftpd[25692] vserver (***.***.72.14[***.***.72.14]): Data transfer stall timeout: 600 seconds
    4. Feb 10 22:24:00 vserver proftpd[25692] vserver (***.***.72.14[***.***.72.14]): FTP session closed.
    Und die meldungen in FileZilla:

    Code (Text):
    1.  
    2. Status: Verbinde mit ***.***.153.174:21...
    3. Status: Verbindung hergestellt, warte auf Willkommensnachricht...
    4. Antwort:    220 ProFTPD 1.3.3a Server (pointhi's Debian FTP-Server) [***.***.153.174]
    5. Befehl: USER thomas
    6. Antwort:    331 Password required for pointhi
    7. Befehl: PASS **********
    8. Antwort:    230 User pointhi logged in
    9. Befehl: OPTS UTF8 ON
    10. Antwort:    200 UTF8 set to on
    11. Status: Verbunden
    12. Status: Empfange Verzeichnisinhalt...
    13. Befehl: PWD
    14. Antwort:    257 "/home/pointhi" is the current directory
    15. Befehl: TYPE I
    16. Antwort:    200 Type set to I
    17. Befehl: PASV
    18. Antwort:    227 Entering Passive Mode (***,***,153,174,183,21).
    19. Befehl: MLSD
    20. Fehler: Zeitüberschreitung der Verbindung
    21. Fehler: Verzeichnisinhalt konnte nicht empfangen werden
    Nach diversen umkonfigurationen, ect. bin ich komplett ratlos was der grund für den fehler ist.

    mfg. pointhi
  2. Bratkartoffel

    Bratkartoffel gebratene Kartoffel Premium-User

    Hi,

    könnte es sein dass du auf deinem Server ne Firewall installiert hast, die bestimmte Ports blockiert? Der Passive-Mode ist auf diverse andere Ports ausser 21 angewiesen.

    Könntest du deinen FTP-Server und den FileZilla mal auf Debugausgaben schalten? Die Infos aus den Logs oben sind sehr dürftig.

    Gruß,
    BK
  3. pointhi

    pointhi Erfahrenes Mitglied

    Firewall ist drinnen, liegt auch genau zwischen dem letzten funktionierenden connect und den nicht funktionierenden. hab in dieser Zeit leider sehr viel geändert, weshalb das problem nicht einfach zu lokalisieren ist.

    Mein Firewall:

    Code (Text):
    1. VServer     Sorter  D-IP    S-IP/NM     D-Port  S-Port  Protocol    Action  
    2. vserver_21604_001873    0   ***.***.153.174     0.0.0.0     80      ALL     ACCEPT  
    3. vserver_21604_001873    1   ***.***.153.174     0.0.0.0         80  ALL     ACCEPT  
    4. vserver_21604_001873    2   ***.***.153.174     0.0.0.0     20      tcp     ACCEPT  
    5. vserver_21604_001873    3   ***.***.153.174     0.0.0.0         20  tcp     ACCEPT  
    6. vserver_21604_001873    4   ***.***.153.174     0.0.0.0     21      tcp     ACCEPT  
    7. vserver_21604_001873    5   ***.***.153.174     0.0.0.0         21  tcp     ACCEPT  
    8. vserver_21604_001873    6   ***.***.153.174     0.0.0.0     22      tcp     ACCEPT  
    9. vserver_21604_001873    7   ***.***.153.174     0.0.0.0         22  tcp     ACCEPT  
    10. vserver_21604_001873    8   ***.***.153.174     0.0.0.0     3690        ALL     ACCEPT  
    11. vserver_21604_001873    9   ***.***.153.174     0.0.0.0         3690    ALL     ACCEPT  
    12. vserver_21604_001873    11  ***.***.153.174     0.0.0.0     443         tcp     DROP    
    13. vserver_21604_001873    12  ***.***.153.174     0.0.0.0         443     tcp     DROP    
    14. vserver_21604_001873    99  ***.***.153.174     0.0.0.0             ALL     DROP
    Das ganze ist in der EDIS Server Admin panele konfiguriert worden. Hab leider keine ahung was D-Port und S-Port genau ist, hab auch nichts dazu gefunden. Jedenfalls blockt er alles bis auf Port 80, 20, 21, 22 und 3690.

    Was für ports benötigt proftpd denn noch?

    Wegen debug ausgabe, stell ich das in der proftpd.conf ein oder ganz wo anders.

    mfg. pointhi
  4. Bratkartoffel

    Bratkartoffel gebratene Kartoffel Premium-User

    Hi,

    also wenn du nur die oben genannten Ports frei hast, dann musst du deinem FileZilla sagen dass er den Active-Mode benutzen soll (Ports 20 und 21).

    Ansonsten musst du schauen, welche Ports in deinem proftpd für den Passive Mode verwendet werden und die auch freischalten.

    Warum hast du eigentlich alle Ports geblockt? Was bringt dir das?

    Gruß,
    BK
  5. pointhi

    pointhi Erfahrenes Mitglied

    Das ganze ist ja ein V-Server und ich bin keiner der irgendwann wegen offenen ports unwissentlich ein botnetz betreiben will. Ich hab http, ssh, ftp und subversion darauf installirt, mysql brauch ich extern nicht. mail und https villeicht später.

    Habs probiert Aktiv Modus funktioniert. Hab auch den Passiv modus zum laufen gebracht:

    Hab dabei folgende Zeile hinzugefügt:

    Code (Text):
    1. PassivePorts                    65530 65534
    Auch hab ich im Firewall diese Ports freigeschaltet:

    Code (Text):
    1. vserver_21604_001873    71  ***.***.153.174     0.0.0.0     65530       tcp     ACCEPT  
    2. vserver_21604_001873    72  ***.***.153.174     0.0.0.0         65530   tcp     ACCEPT  
    3. vserver_21604_001873    73  ***.***.153.174     0.0.0.0     65531       tcp     ACCEPT  
    4. vserver_21604_001873    74  ***.***.153.174     0.0.0.0         65531   tcp     ACCEPT  
    5. vserver_21604_001873    75  ***.***.153.174     0.0.0.0     65532       tcp     ACCEPT  
    6. vserver_21604_001873    76  ***.***.153.174     0.0.0.0         65532   tcp     ACCEPT  
    7. vserver_21604_001873    77  ***.***.153.174     0.0.0.0     65533       tcp     ACCEPT  
    8. vserver_21604_001873    78  ***.***.153.174     0.0.0.0         65533   tcp     ACCEPT  
    9. vserver_21604_001873    79  ***.***.153.174     0.0.0.0     65534       tcp     ACCEPT  
    10. vserver_21604_001873    81  ***.***.153.174     0.0.0.0         65534   tcp     ACCEPT  
    Das reicht für mich da ich der einzige benutzer mit FTP zugang bin :)

    nochmal danke für den tip

    mfg. pointhi
    Zuletzt bearbeitet: 13. Februar 2012
  6. Bratkartoffel

    Bratkartoffel gebratene Kartoffel Premium-User

    Hi pointhi,

    ich sags immer wieder:
    Was bringt es dir, geschlossene Ports per Firewall zu sperren? Wenn an einem Port kein Programm hängt, dann kann der Hacker noch so ein Genie sein, er wird da nicht rein kommen. Kannst dir vorstellen wie ein Bunker an dem es mehrere Eingänge gibt. Durch die Wand kommt er nicht (Port XYZ), nur durch die Eingänge (Apache, Postfix, MySQL) wenn diese nicht anständig gesichert sind.

    Firewalls sind nur Snake-Oil, kümmere dich lieber um die Sicherung deiner Dienste als um das sinnlose rumspielen mit deiner Firewall weil ein legitimes Programm doch nicht so ganz will.

    Wenn ein Hacker in einem Server einbricht, dann ist das erste was er macht sich erstmal root-Rechte zu besorgen. Dann kann er sich seine Ports (die er normalerweise eh nicht mehr braucht) selbst an der Firewall freischalten.

    Nur meine Gedanken zu dem Thema Firewalls ;)

    Gruß,
    BK
  7. pointhi

    pointhi Erfahrenes Mitglied

    An der Firewall kann der hacker gar nicht herumspielen da die extern konfiguriert wird. :), auserdem hab ich mail z.b. oben, konnte es aber nicht richtig installieren und deinstallation wollte er auch nicht machen. Das wäre dann z.b. ein sicherheitsrisiko, und es gibt dienste, z.b. proftpd die ports nutzen von denen ich nichts wusste, bzw. dienste die ich versehentlich mitinstalliert habe. Und alle professionellen Firewalls blocken auch alles bis auf die paar dienste die sie benötigen. Das ganze ist ja kein Router wo spiele darüber gespielt werden, ect.
    Und wenn ich sudo auf dem server zum laufen gebracht habe werd ich Rootlogin bei SSH wie bei FTP ausschalten. Apache und PHP hab ich auch so gut wie möglich für mich abgesichert und MySql ist sowieso nicht extern erreichbar. Wenn ich einstellungen finde die für die sicherheit dienlich sind finde werde ich sie natürlich dementsprechend ändern, aber der aktuelle status sollte meiner meinung schon relativ hacksicher sein, im gegensatz zu vielen anderen v-server an denen Menschen mit weniger wissen arbeiten.

    Wenn wer gute tipps für die sicherheit der dienste hat kann sie gerne nennen, aber das sollte derzeit soweit reichen.

    mfg. pointhi

Diese Seite empfehlen