1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

proftpd ECONNREFUSED - Connection refused by server

Dieses Thema im Forum "Linux & Unix" wurde erstellt von jimb0p, 9. Januar 2017.

  1. jimb0p

    jimb0p Erfahrenes Mitglied

    Hallo Zusammen,

    bekomme beim Versuch eine FTP TLS Verbindung zu meinem Server aufzubauen von außerhalb immer die im Titel angegebene Fehlermeldung. Innerhalb des LANs funktioniert es fehlerfrei. Habe als Masquerade meine DynDNS Adresse hinterlegt welche auch die korrekte IP enthält. Die passiven Ports in der config Datei habe ich auch geforwareded auf die IP. Jemand eine Idee was noch das Problem hervorrufen kann?

    Gruß!
     
  2. sheel

    sheel I love Asm Administrator

    Hi

    Der Server steht daheim (?), innerhalb des Lans gehts, aber nicht von außen (?).
    Welche Adresse ist in welchem Gerät als "Masquerade" (?) hinterlegt? Und wozu?
    Wie schaut die Config aus (nur die nicht-geheimen Teile)?
    Welche Ports sind konkret forgewarded?
    Sind alle relevanten Firewalls geprüft (welche)?
    Gibt es andere Dienste am Server, sind die erreichbar?
    Welches Clientprogramm wird verwendet?
    Und spricht etwas gegen SFTP?

    (Ich weiß, viele Fragen :))
     
  3. jimb0p

    jimb0p Erfahrenes Mitglied

    Hi sheel,

    ja und ja

    Im Server ist eine dyndns Adresse als Masquerade hinterlegt, habe gelesen das ist notwendig wenn man von extern zugreifen möchte und die IP wechselt.

    Code (Text):
    1. Include /etc/proftpd/modules.conf
    2.  
    3. UseIPv6                off
    4.  
    5. IdentLookups            off
    6.  
    7. ServerName            "~ Privater FTP Server - Debian ~"
    8. ServerType            standalone
    9. DeferWelcome            off
    10.  
    11. MultilineRFC2228        on
    12. DefaultServer            on
    13. ShowSymlinks            on
    14.  
    15. TimeoutNoTransfer        600
    16. TimeoutStalled            600
    17. TimeoutIdle            1200
    18.  
    19. DisplayLogin                    welcome.msg
    20. DisplayChdir                   .message true
    21. ListOptions                    "-l"
    22.  
    23. DenyFilter            \*.*/
    24.  
    25. DefaultRoot            ~
    26.  
    27. RequireValidShell        off
    28.  
    29. Port                21
    30.  
    31. PassivePorts                  49152 50000
    32.  
    33. MasqueradeAddress        foo.bar.com
    34.  
    35. MaxInstances            30
    36.  
    37. User                proftpd
    38. Group                nogroup
    39.  
    40. Umask                022  022
    41.  
    42. AllowOverwrite            on
    43.  
    44. AuthOrder             mod_auth_file.c mod_auth_unix.c
    45.  
    46. TransferLog /var/log/proftpd/xferlog
    47. SystemLog   /var/log/proftpd/proftpd.log
    48.  
    49. <IfModule mod_quotatab.c>
    50. QuotaEngine off
    51. </IfModule>
    52.  
    53. <IfModule mod_ratio.c>
    54. Ratios off
    55. </IfModule>
    56. <IfModule mod_delay.c>
    57. DelayEngine on
    58. </IfModule>
    59.  
    60. <IfModule mod_ctrls.c>
    61. ControlsEngine        off
    62. ControlsMaxClients    2
    63. ControlsLog           /var/log/proftpd/controls.log
    64. ControlsInterval      5
    65. ControlsSocket        /var/run/proftpd/proftpd.sock
    66. </IfModule>
    67.  
    68. <IfModule mod_ctrls_admin.c>
    69. AdminControlsEngine off
    70. </IfModule>
    71.  
    72. Include /etc/proftpd/conf.d/
    73.  
    74. UseReverseDNS off
    75. AuthUserFile /etc/proftpd/ftpd.passwd
    76. AuthPam off
    77.  
    78. <IfModule mod_tls.c>
    79. TLSEngine                  on
    80. TLSLog                     /var/log/proftpd/tls.log
    81. TLSProtocol                SSLv23
    82. TLSOptions                 NoCertRequest
    83. TLSRSACertificateFile      /etc/proftpd/ssl/proftpd.cert.pem
    84. TLSRSACertificateKeyFile   /etc/proftpd/ssl/proftpd.key.pem
    85. TLSVerifyClient            off
    86. TLSRequired                on
    87. </IfModule>
    21 und 49152-50000 von WAN an den lokalen Server

    In meinem OpenWrt ist das Portforwarding, muss ich unter Debian auch was forwarden?

    Für extern nicht, nur intern Samba, klappt problemlos

    Aktuell Filezilla, soll aber in ein MSSQL Backup Tool eingetragen werden

    Das Backup Tool unterstützt kein SFTP mit Key, daher ist es keine Option.

    Danke für deine Hilfe.
    Gruß!
     
  4. sheel

    sheel I love Asm Administrator

    Ich nehme an, das bedeutet "Der Server ruft regelmäßig eine DynDNS-Adresse auf, damit die die neue IP bekommen und ihre Domain entsprechend umleiten können". Um auszuschließen, dass die DynDNS-Domain evt. zu einer falschen IP auflöst und deshalb von extern einfach nichts erreichbar ist: Hast du das einmal verglichen? Mit nslookup usw. die IP zur Adresse abfragen und mit der lokalen externen IP vergleichen.

    Wirklich "notwendig" ist es nicht. Wenn man immer die aktuelle IP irgendwie anders weiß kann man sie natürlich immer eingeben.

    NAT+Portforwarding und Firewalls sind nicht das Selbe. Ersteres ist eine Krücke im Netzwerkaufbau wegen zu wenig IPv4-Adressen, mehr nicht. Letzteres erlaubt oder verbietet Verbindungen nach verschiedenen Kriterien (abhängig davon wie gut die Firewall ist geht das von "Port x immer/nie" über bestimmte Adressen die rein dürfen, Portknocking, zu Inhaltsüberprüfung usw.).

    OpenWRT hat eine FW, bei der anfangs alle Verbindungsversuche von außen verboten sind (zumindest laut Internet, und das ist auch gut so). Das umstellen und wieder probieren...
    Wie es mit Debian ausschaut hängt von den IpTables-Einstellungen bzw. weiteren Programminstallationen (ufw...) ab.

    Heißt das, es geht ohne Key zumindest? Wäre dann trotzdem eine Überlegung wert, Keys sind nicht verpflichtend.
    Vorteile:
    a) Kein Problem mit tausenden passiven Ports oder Ähnlichem, ein Port reicht für alles.
    b) Kein Problem mit alten unsicheren SSL-Versionen.
    c) FTPS ist in manchen Punkten generell nicht so sicher wie es sein könnte.
    Nachteil:
    Etwas umständlicher einzurichten.
     
Die Seite wird geladen...