Hallo, ich versuche gerade, einen FTP-Server mit VSFTP zu realisieren, der auf einem Rechner liegt, der über DynDNS und einen DSL-Router (Netgear DG824B) erreichbar ist. Im DSL-Router ist eingestellt, dass FTP (Port 20/21) an den Rechner mit dem FTP-Server geforwardet werden soll. Das funktioniert auch. Ich kann mich am FTP-Server anmelden und das aktuelle Verzeichnis mit cd wechseln oder mir mit pwd das aktuelle Verzeichnis anzeigen lassen. Wenn ich aber ls eingebe, kriege ich folgende Ausgabe ftp> ls 500 Illegal EPSV command. 227 Entering Passive Mode (192,168,100,5,52,24) und dann passiert gar nichts mehr. Liegt das nun an dem DSL-Router oder am VSFTP-Server? Der Client nutzt übrigens passives FTP. In den Logs des FTP-Servers steht übrigens nichts drin, was einem hier weiter helfen könnte. Der letzte Eintrag sowohl in /var/log/messages als auch in /var/log/vsftpd.log besagt, dass ich mich erfolgreich connecten konnte. Das obige Kommando, das dann hängen bleibt, erscheint dann gar nicht mehr. Deutet das darauf hin, dass das Problem beim Router liegt? Danke für jeden Hinweis, Ralf.
Am Montag, 24. März 2003 13:51 schrieb Ralf Schneider:
Hallo,
ich versuche gerade, einen FTP-Server mit VSFTP zu realisieren, der auf einem Rechner liegt, der über DynDNS und einen DSL-Router (Netgear DG824B) erreichbar ist. Im DSL-Router ist eingestellt, dass FTP (Port 20/21) an den Rechner mit dem FTP-Server geforwardet werden soll.
Das funktioniert auch. Ich kann mich am FTP-Server anmelden und das aktuelle Verzeichnis mit cd wechseln oder mir mit pwd das aktuelle Verzeichnis anzeigen lassen. Wenn ich aber ls eingebe, kriege ich folgende Ausgabe
ftp> ls 500 Illegal EPSV command. 227 Entering Passive Mode (192,168,100,5,52,24)
Klar, ab dann wechselt er in den passiv Mode und ... lies doch mal http://www.proftpd.de/ftp_explain.php und richte deinen Router entsprechend ein.
Danke für jeden Hinweis, Ralf.
viele Grüße Andreas -- "640 KiloByte ought to be enough for anybody" (Bill Gates, 1981)
Am Montag, 24. März 2003 14:00 schrieb Andreas Hergesell:
ftp> ls 500 Illegal EPSV command. 227 Entering Passive Mode (192,168,100,5,52,24)
Klar, ab dann wechselt er in den passiv Mode und ...
lies doch mal http://www.proftpd.de/ftp_explain.php
Die Doku ist zwar gut, nur leider funktioniert das immer noch nicht.
und richte deinen Router entsprechend ein.
Ich habe jetzt auf dem Router mal zum Testen die hohen Ports (1024-65534) über eine Inbound-Rule freigeschaltet, nur leider hat das bis jetzt keine Änderung am beschriebenen Verhalten gebracht. Wenn ich dem Router allerdings sage, dass der Rechner in der DMZ steht, funktioniert es. Aber das möchte ich eigentlich nicht! Gibt's da noch irgendwelche Tricks, die mir weiterhelfen könnten? Das muss doch irgendwie gehen, oder? Viele Grüße, Ralf.
Am Montag, 24. März 2003 17:20 schrieb Ralf Schneider:
Am Montag, 24. März 2003 14:00 schrieb Andreas Hergesell:
Die Doku ist zwar gut, nur leider funktioniert das immer noch nicht.
Das ist schade:-(
Ich habe jetzt auf dem Router mal zum Testen die hohen Ports (1024-65534) über eine Inbound-Rule freigeschaltet, nur leider hat das bis jetzt keine Änderung am beschriebenen Verhalten
Ich kenne mich mit Hardware-Routern garnicht aus, aber hast du die Ports an deinen Rechner geforwarded (also wie 20 und 21) und nicht nur geöffnet?
gebracht. Wenn ich dem Router allerdings sage, dass der Rechner in der DMZ steht, funktioniert es. Aber das möchte ich eigentlich nicht!
Ich würde mich nochmal mit der Doku zum Router beschäftigen, aber wie gesagt kenne ich mich mit den Dingern ja auch leider nicht aus. Wo liegt den der Unterschied zur DMZ für den Router?
Gibt's da noch irgendwelche Tricks, die mir weiterhelfen könnten? Das muss doch irgendwie gehen, oder?
Vielleicht kann noch jemand dir weiterhelfen.
Viele Grüße, Ralf.
-- "I think there is a world market for maybe 5 computers" (Thomas Watson, Chairman of IBM, 1943)
Am Montag, 24. März 2003 17:39 schrieb Andreas Hergesell:
Ich habe jetzt auf dem Router mal zum Testen die hohen Ports (1024-65534) über eine Inbound-Rule freigeschaltet, nur leider hat das bis jetzt keine Änderung am beschriebenen Verhalten
Ich kenne mich mit Hardware-Routern garnicht aus, aber hast du die Ports an deinen Rechner geforwarded (also wie 20 und 21) und nicht nur geöffnet?
Nein, die werden schon an den richtigen Rechner geforwarded.
gebracht. Wenn ich dem Router allerdings sage, dass der Rechner in der DMZ steht, funktioniert es. Aber das möchte ich eigentlich nicht!
Ich würde mich nochmal mit der Doku zum Router beschäftigen, aber wie gesagt kenne ich mich mit den Dingern ja auch leider nicht aus. Wo liegt den der Unterschied zur DMZ für den Router?
Wenn ich das richtig verstanden habe, werden auf die DMZ die Firewall-Rules nicht angewendet. Der Rechner hängt dann also ungeschützt am Internet.
Gibt's da noch irgendwelche Tricks, die mir weiterhelfen könnten? Das muss doch irgendwie gehen, oder?
Vielleicht kann noch jemand dir weiterhelfen.
Das hoffe ich doch sehr :-) Ralf.
Hallo, am 24 March 2003 um 16:39 schrieb Andreas Hergesell:
Gibt's da noch irgendwelche Tricks, die mir weiterhelfen könnten? Das muss doch irgendwie gehen, oder?
Das Problem ist ja, das der FTP Server eine interne IP als Adresse fuer PASSIVEN Transfer nimmt. Diese kann natuerlich der externe FTP Client nicht aufloesen. ProFTPD bietet dafuer "MasqueradAddress" an, ich denke mir, dass VSFTP sowas wohl auch hat. Das sollte helfen.... cu Stonki -- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
Am Dienstag, 25. März 2003 12:22 schrieb Stefan Onken:
Das Problem ist ja, das der FTP Server eine interne IP als Adresse fuer PASSIVEN Transfer nimmt. Diese kann natuerlich der externe FTP Client nicht aufloesen. ProFTPD bietet dafuer "MasqueradAddress" an, ich denke mir, dass VSFTP sowas wohl auch hat. Das sollte helfen....
Nach einigem Suchen habe ich herausgefunden, dass die Option bei VSFTP
pasv_address
Ralf Schneider wrote:
Am Dienstag, 25. März 2003 12:22 schrieb Stefan Onken:
Das Problem ist ja, das der FTP Server eine interne IP als Adresse fuer PASSIVEN Transfer nimmt. Diese kann natuerlich der externe FTP Client nicht aufloesen. ProFTPD bietet dafuer "MasqueradAddress" an, ich denke mir, dass VSFTP sowas wohl auch hat. Das sollte helfen....
Nach einigem Suchen habe ich herausgefunden, dass die Option bei VSFTP pasv_address
heißt, wobei virtual_ip wohl die "echte" IP-Adresse des Routers ist. Jetzt habe ich natürlich das Problem, dass der DSL-Router bei jeder Einwahl eine neue Adresse bekommt. Gibt es eine Möglichkeit, diese nach außen sichtbare IP-Adresse abzufragen? Dann könnte ich mir ein Skript basteln, das die IP-Adresse regelmäßig abfragt und ggf. anpasst.
falls du auch noch irgendwo eine windows maschine hast, versuche mal mit bali dynamic dns Yaskifo.com, dort sind unter anderem auch abfrage methoden für den router drinn. vielleicht kann dir dieses weiterhelfen. gruss thomas
Ralf Schneider wrote:
Am Montag, 24. März 2003 14:00 schrieb Andreas Hergesell:
ftp> ls 500 Illegal EPSV command. 227 Entering Passive Mode (192,168,100,5,52,24)
Klar, ab dann wechselt er in den passiv Mode und ...
lies doch mal http://www.proftpd.de/ftp_explain.php
Die Doku ist zwar gut, nur leider funktioniert das immer noch nicht.
und richte deinen Router entsprechend ein.
Ich habe jetzt auf dem Router mal zum Testen die hohen Ports (1024-65534) über eine Inbound-Rule freigeschaltet, nur leider hat das bis jetzt keine Änderung am beschriebenen Verhalten gebracht. Wenn ich dem Router allerdings sage, dass der Rechner in der DMZ steht, funktioniert es. Aber das möchte ich eigentlich nicht!
ftp über router und firewall ist ein fast unmögliches unterfangen. vielleicht kannst du deinem router beibringen, dass er die portzuordnung aus der anmeldeprozedur herleitet. bei firewall (iptables) kannst du mit established arbeiten, dies geht aber am router wahrscheinlich nicht. das problem ist dass die ports frei vergeben werden, du hast also keine chance die ports einkommend zu konfigurieren. etwas gutes hat das ganze mit dem ftp: wenn du dies im griff hast, ist alles andere nur noch pienuts. gruss thomas
Hallo, On Mon, Mar 24, 2003 at 01:51:10PM +0100, Ralf Schneider wrote:
ftp> ls 500 Illegal EPSV command. 227 Entering Passive Mode (192,168,100,5,52,24)
passiver Modus d.h. Ports > 1024 nicht mehr nur 21
und dann passiert gar nichts mehr. Liegt das nun an dem DSL-Router oder am VSFTP-Server? Der Client nutzt übrigens passives FTP.
Wenn der client aktives FTP benutzt dürfte das funktionieren mal per kommandozeile vor dem ls passiv eingeben. Evtl auch zweimal eben sollange bis die Rückmeldung sagt das es aus ist.
In den Logs des FTP-Servers steht übrigens nichts drin, was einem hier weiter helfen könnte. Der letzte Eintrag sowohl in /var/log/messages als auch in /var/log/vsftpd.log besagt, dass ich mich erfolgreich connecten konnte. Das obige Kommando, das dann hängen bleibt, erscheint dann gar nicht mehr. Deutet das darauf hin, dass das Problem beim Router liegt?
jup, das müsste der Router sein. Es sei den du hast noch eine lokale Firewall *hoff* aber ohne logging *uhg* ;) Gruss Daniel -- "Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one." --Thomas Jefferson
Am Montag, 24. März 2003 19:13 schrieb Daniel Lord:
On Mon, Mar 24, 2003 at 01:51:10PM +0100, Ralf Schneider wrote:
ftp> ls 500 Illegal EPSV command. 227 Entering Passive Mode (192,168,100,5,52,24)
passiver Modus d.h. Ports > 1024 nicht mehr nur 21
Genau das habe ich bei dem Router eingestellt (also, dass die hohen Ports auch geforwarded werden), hat aber nichts gebracht. Kann dann am Router liegen, dass der 'ne Macke hat? Kennt jemand den Netgear DG824B?
und dann passiert gar nichts mehr. Liegt das nun an dem DSL-Router oder am VSFTP-Server? Der Client nutzt übrigens passives FTP.
Wenn der client aktives FTP benutzt dürfte das funktionieren mal per kommandozeile vor dem ls passiv eingeben. Evtl auch zweimal eben sollange bis die Rückmeldung sagt das es aus ist.
Stimmt, wenn ich aktives FTP mache, geht's tatsächlich. Aber eigentlich sollte das doch auch mit passiven FTP hinzukriegen sein. Was mich beim aktiven FTP etwas wundert ist, dass das überhaupt funktioniert :-) Ich selbst gehe nämlich über einen SMC Barricade DSL-Router ins Internet und bei dem habe ich für die Inbound-Filterregeln gesagt "Deny all to pass". Meiner Meinung nach dürfte aktives FTP dann doch gar nicht funktionieren, oder?
In den Logs des FTP-Servers steht übrigens nichts drin, was einem hier weiter helfen könnte. Der letzte Eintrag sowohl in /var/log/messages als auch in /var/log/vsftpd.log besagt, dass ich mich erfolgreich connecten konnte. Das obige Kommando, das dann hängen bleibt, erscheint dann gar nicht mehr. Deutet das darauf hin, dass das Problem beim Router liegt?
jup, das müsste der Router sein. Es sei den du hast noch eine lokale Firewall *hoff* aber ohne logging *uhg* ;)
Nee, ist extra zum Testen der FTP-Verbindung deaktiviert worden. Vielleicht kann mir noch jemand einen Tip geben, was ich noch probieren kann bzw. ob es mit den verwendeten Routern irgendwelche Schwierigkeiten gibt. Danke, Ralf.
Hi, On Tue, Mar 25, 2003 at 08:03:43AM +0100, Ralf Schneider wrote:
Am Montag, 24. März 2003 19:13 schrieb Daniel Lord:
On Mon, Mar 24, 2003 at 01:51:10PM +0100, Ralf Schneider wrote:
passiver Modus d.h. Ports > 1024 nicht mehr nur 21
Genau das habe ich bei dem Router eingestellt (also, dass die hohen Ports auch geforwarded werden), hat aber nichts gebracht. Kann dann am Router liegen, dass der 'ne Macke hat? Kennt jemand den Netgear DG824B?
glaube ich nicht.
und dann passiert gar nichts mehr. Liegt das nun an dem DSL-Router oder am VSFTP-Server? Der Client nutzt übrigens passives FTP.
Wenn der client aktives FTP benutzt dürfte das funktionieren mal per kommandozeile vor dem ls passiv eingeben. Evtl auch zweimal eben sollange bis die Rückmeldung sagt das es aus ist.
Stimmt, wenn ich aktives FTP mache, geht's tatsächlich. Aber eigentlich sollte das doch auch mit passiven FTP hinzukriegen sein.
Wenn Du alles so konfigurierst, das vom Server eine Port Meldung nach draussen gehen kann und der Client die auch bekommt :) dann geht das auch mit passiv .... IMHO ist eine aktive Verbindung aber wesentlich leichter abzusichern als eine passive (Firewalltechnisch)
Was mich beim aktiven FTP etwas wundert ist, dass das überhaupt funktioniert :-) Ich selbst gehe nämlich über einen SMC Barricade DSL-Router ins Internet und bei dem habe ich für die Inbound-Filterregeln gesagt "Deny all to pass". Meiner Meinung nach dürfte aktives FTP dann doch gar nicht funktionieren, oder?
Wieso nicht? ..... Das ist wohl eher der Grund warum dein passives FTP nicht funktioniert :) Gruss Daniel PS.: Ich benötige jede Email nur einmal.... -- "Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one." --Thomas Jefferson
Am Dienstag, 25. März 2003 10:33 schrieb Daniel Lord:
Stimmt, wenn ich aktives FTP mache, geht's tatsächlich. Aber eigentlich sollte das doch auch mit passiven FTP hinzukriegen sein.
Wenn Du alles so konfigurierst, das vom Server eine Port Meldung nach draussen gehen kann und der Client die auch bekommt :) dann geht das auch mit passiv .... IMHO ist eine aktive Verbindung aber wesentlich leichter abzusichern als eine passive (Firewalltechnisch)
Der Router des Servers läßt alles nach draußen durch und bei den eingehenden Verbindungen halt nur manche, z.B. WWW, FTP und die hohen Ports.
Was mich beim aktiven FTP etwas wundert ist, dass das überhaupt funktioniert
:-) Ich selbst gehe nämlich über einen SMC Barricade DSL-Router ins : Internet
und bei dem habe ich für die Inbound-Filterregeln gesagt "Deny all to pass". Meiner Meinung nach dürfte aktives FTP dann doch gar nicht funktionieren, oder?
Wieso nicht? ..... Das ist wohl eher der Grund warum dein passives FTP nicht funktioniert :)
Ich habe auch schon probiert, auf meiner Seite "Allow all to pass" einzustellen --> gleiches Ergebnis. Das Problem tritt übrigens auch von anderen Rechnern aus auf, die direkt per ISDN-Karte ins Internet gehen. Daher meine Vermutung, dass es an dem Netgear der Gegenseite (Server) liegt. Ralf.
participants (5)
-
Andreas Hergesell -
Daniel Lord -
Ralf Schneider -
Stefan Onken -
Thomas Fankhauser