proftpd funktioniert nicht mehr (einloggen funkt, verzeichnis wird aber nicht angz.)

pointhi

Erfahrenes Mitglied
Hy,
ich hab einen V-Linux server wobei FTP schon einmal funktioniert hat. Komischerweise funktionierte FTP nach einem Update nicht mehr. Ich hab proftpd schon neu installiert und konfiguriert, es kommt aber immer das gleiche problem. Das ist:

ich kann mich mit meinen Daten problemlos anmelden, es kommt auch eine Bestätigung, aber beim abrufen der FTP-Daten gibt es einen Time-Out fehler.

Die log eines solchen zugriffes:

Code:
Feb 10 22:23:05 vserver proftpd[25856] vserver (***.***.72.14[***.***.72.14]): FTP session opened.
Feb 10 22:23:08 vserver proftpd[25856] vserver (***.***.72.14[***.***.72.14]): USER pointhi: Login successful.
Feb 10 22:24:00 vserver proftpd[25692] vserver (***.***.72.14[***.***.72.14]): Data transfer stall timeout: 600 seconds
Feb 10 22:24:00 vserver proftpd[25692] vserver (***.***.72.14[***.***.72.14]): FTP session closed.

Und die meldungen in FileZilla:

Code:
Status:	Verbinde mit ***.***.153.174:21...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 ProFTPD 1.3.3a Server (pointhi's Debian FTP-Server) [***.***.153.174]
Befehl:	USER thomas
Antwort:	331 Password required for pointhi
Befehl:	PASS **********
Antwort:	230 User pointhi logged in
Befehl:	OPTS UTF8 ON
Antwort:	200 UTF8 set to on
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	PWD
Antwort:	257 "/home/pointhi" is the current directory
Befehl:	TYPE I
Antwort:	200 Type set to I
Befehl:	PASV
Antwort:	227 Entering Passive Mode (***,***,153,174,183,21).
Befehl:	MLSD
Fehler:	Zeitüberschreitung der Verbindung
Fehler:	Verzeichnisinhalt konnte nicht empfangen werden

Nach diversen umkonfigurationen, ect. bin ich komplett ratlos was der grund für den fehler ist.

mfg. pointhi
 
Hi,

könnte es sein dass du auf deinem Server ne Firewall installiert hast, die bestimmte Ports blockiert? Der Passive-Mode ist auf diverse andere Ports ausser 21 angewiesen.

Könntest du deinen FTP-Server und den FileZilla mal auf Debugausgaben schalten? Die Infos aus den Logs oben sind sehr dürftig.

Gruß,
BK
 
Firewall ist drinnen, liegt auch genau zwischen dem letzten funktionierenden connect und den nicht funktionierenden. hab in dieser Zeit leider sehr viel geändert, weshalb das problem nicht einfach zu lokalisieren ist.

Mein Firewall:

Code:
VServer 	Sorter 	D-IP 	S-IP/NM 	D-Port 	S-Port 	Protocol 	Action 	
vserver_21604_001873 	0 	***.***.153.174 	0.0.0.0 	80 		ALL 	ACCEPT 	
vserver_21604_001873 	1 	***.***.153.174 	0.0.0.0 		80 	ALL 	ACCEPT 	
vserver_21604_001873 	2 	***.***.153.174 	0.0.0.0 	20 		tcp 	ACCEPT 	
vserver_21604_001873 	3 	***.***.153.174 	0.0.0.0 		20 	tcp 	ACCEPT 	
vserver_21604_001873 	4 	***.***.153.174 	0.0.0.0 	21 		tcp 	ACCEPT 	
vserver_21604_001873 	5 	***.***.153.174 	0.0.0.0 		21 	tcp 	ACCEPT 	
vserver_21604_001873 	6 	***.***.153.174 	0.0.0.0 	22 		tcp 	ACCEPT 	
vserver_21604_001873 	7 	***.***.153.174 	0.0.0.0 		22 	tcp 	ACCEPT 	
vserver_21604_001873 	8 	***.***.153.174 	0.0.0.0 	3690 		ALL 	ACCEPT 	
vserver_21604_001873 	9 	***.***.153.174 	0.0.0.0 		3690 	ALL 	ACCEPT 	
vserver_21604_001873 	11 	***.***.153.174 	0.0.0.0 	443 		tcp 	DROP 	
vserver_21604_001873 	12 	***.***.153.174 	0.0.0.0 		443 	tcp 	DROP 	
vserver_21604_001873 	99 	***.***.153.174 	0.0.0.0 			ALL 	DROP

Das ganze ist in der EDIS Server Admin panele konfiguriert worden. Hab leider keine ahung was D-Port und S-Port genau ist, hab auch nichts dazu gefunden. Jedenfalls blockt er alles bis auf Port 80, 20, 21, 22 und 3690.

Was für ports benötigt proftpd denn noch?

Wegen debug ausgabe, stell ich das in der proftpd.conf ein oder ganz wo anders.

mfg. pointhi
 
Hi,

also wenn du nur die oben genannten Ports frei hast, dann musst du deinem FileZilla sagen dass er den Active-Mode benutzen soll (Ports 20 und 21).

Ansonsten musst du schauen, welche Ports in deinem proftpd für den Passive Mode verwendet werden und die auch freischalten.

Warum hast du eigentlich alle Ports geblockt? Was bringt dir das?

Gruß,
BK
 
Das ganze ist ja ein V-Server und ich bin keiner der irgendwann wegen offenen ports unwissentlich ein botnetz betreiben will. Ich hab http, ssh, ftp und subversion darauf installirt, mysql brauch ich extern nicht. mail und https villeicht später.

Habs probiert Aktiv Modus funktioniert. Hab auch den Passiv modus zum laufen gebracht:

Hab dabei folgende Zeile hinzugefügt:

Code:
PassivePorts                    65530 65534

Auch hab ich im Firewall diese Ports freigeschaltet:

Code:
vserver_21604_001873 	71 	***.***.153.174 	0.0.0.0 	65530 		tcp 	ACCEPT 	
vserver_21604_001873 	72 	***.***.153.174 	0.0.0.0 		65530 	tcp 	ACCEPT 	
vserver_21604_001873 	73 	***.***.153.174 	0.0.0.0 	65531 		tcp 	ACCEPT 	
vserver_21604_001873 	74 	***.***.153.174 	0.0.0.0 		65531 	tcp 	ACCEPT 	
vserver_21604_001873 	75 	***.***.153.174 	0.0.0.0 	65532 		tcp 	ACCEPT 	
vserver_21604_001873 	76 	***.***.153.174 	0.0.0.0 		65532 	tcp 	ACCEPT 	
vserver_21604_001873 	77 	***.***.153.174 	0.0.0.0 	65533 		tcp 	ACCEPT 	
vserver_21604_001873 	78 	***.***.153.174 	0.0.0.0 		65533 	tcp 	ACCEPT 	
vserver_21604_001873 	79 	***.***.153.174 	0.0.0.0 	65534 		tcp 	ACCEPT 	
vserver_21604_001873 	81 	***.***.153.174 	0.0.0.0 		65534 	tcp 	ACCEPT

Das reicht für mich da ich der einzige benutzer mit FTP zugang bin :)

nochmal danke für den tip

mfg. pointhi
 
Zuletzt bearbeitet:
Hi pointhi,

ich sags immer wieder:
Was bringt es dir, geschlossene Ports per Firewall zu sperren? Wenn an einem Port kein Programm hängt, dann kann der Hacker noch so ein Genie sein, er wird da nicht rein kommen. Kannst dir vorstellen wie ein Bunker an dem es mehrere Eingänge gibt. Durch die Wand kommt er nicht (Port XYZ), nur durch die Eingänge (Apache, Postfix, MySQL) wenn diese nicht anständig gesichert sind.

Firewalls sind nur Snake-Oil, kümmere dich lieber um die Sicherung deiner Dienste als um das sinnlose rumspielen mit deiner Firewall weil ein legitimes Programm doch nicht so ganz will.

Wenn ein Hacker in einem Server einbricht, dann ist das erste was er macht sich erstmal root-Rechte zu besorgen. Dann kann er sich seine Ports (die er normalerweise eh nicht mehr braucht) selbst an der Firewall freischalten.

Nur meine Gedanken zu dem Thema Firewalls ;)

Gruß,
BK
 
An der Firewall kann der hacker gar nicht herumspielen da die extern konfiguriert wird. :), auserdem hab ich mail z.b. oben, konnte es aber nicht richtig installieren und deinstallation wollte er auch nicht machen. Das wäre dann z.b. ein sicherheitsrisiko, und es gibt dienste, z.b. proftpd die ports nutzen von denen ich nichts wusste, bzw. dienste die ich versehentlich mitinstalliert habe. Und alle professionellen Firewalls blocken auch alles bis auf die paar dienste die sie benötigen. Das ganze ist ja kein Router wo spiele darüber gespielt werden, ect.
Und wenn ich sudo auf dem server zum laufen gebracht habe werd ich Rootlogin bei SSH wie bei FTP ausschalten. Apache und PHP hab ich auch so gut wie möglich für mich abgesichert und MySql ist sowieso nicht extern erreichbar. Wenn ich einstellungen finde die für die sicherheit dienlich sind finde werde ich sie natürlich dementsprechend ändern, aber der aktuelle status sollte meiner meinung schon relativ hacksicher sein, im gegensatz zu vielen anderen v-server an denen Menschen mit weniger wissen arbeiten.

Wenn wer gute tipps für die sicherheit der dienste hat kann sie gerne nennen, aber das sollte derzeit soweit reichen.

mfg. pointhi
 

Neue Beiträge

Zurück