Hallo Liste. Ich habe hier ein ftp-Problem: es läuft ein vsftp, der aus dem internen Netz problemlos arbeitet. Nun möchte ich, daß er auch von außen erreichbar ist. Dazu habe ich die Ports 20/tcp und 21/tcp auf den Rechner weitergeleitet, auf dem der vsftp läuft. Nun kann man sich zwar einloggen, aber man kann zB keine Verzeichnisse angucken. Ich kann den Grund dafür einfach nicht finden. Könnte sich jemand mal auf 195.158.180.121 einloggen und ggf. gucken, wo das Problem liegen könnte? Wenn ich das erweiterte Logging einschalte, dann sehe ich auf dem Server: Nov 22 14:16:44 filesrv vsftpd: Wed Nov 22 14:16:44 2006 [pid 2827] [ftp] FTP command: Client "84.152.203.176", "PASV" Nov 22 14:16:44 filesrv vsftpd: Wed Nov 22 14:16:44 2006 [pid 2827] [ftp] FTP response: Client "84.152.203.176", "227 Entering Passive Mode (192,168,166,252,172,212)" Und dann passiert nicht mehr. Auf dem Client sieht das so aus: ftp> ls 227 Entering Passive Mode (192,168,166,252,249,204) Und dann kommt nichts mehr. Ich weiß nicht, wo ich suchen soll. Danke für Hinweise. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
hallo andre, Andre Tann wrote:
Hallo Liste.
Ich habe hier ein ftp-Problem: es läuft ein vsftp, der aus dem internen Netz problemlos arbeitet.
Nun möchte ich, daß er auch von außen erreichbar ist. Dazu habe ich die Ports 20/tcp und 21/tcp auf den Rechner weitergeleitet, auf dem der vsftp läuft. Nun kann man sich zwar einloggen, aber man kann zB keine Verzeichnisse angucken. Ich kann den Grund dafür einfach nicht finden.
tja, ftp..... leider ist stonki nicht mehr in der liste, der hätte dir das problem einfach schildern können. die lösung ist etwas schwieriger. ftp braucht mehr als einen port. port 21 für die steuerung und port 20 für die daten. falls sich aber der client hinter einer firewall oder router befindet, muss der client in den passiven modus wechseln. hier wird auch wieder der port 21 zur steuerung und irgendein port oberhalb 1024 für die daten benutzt. das bedeutet dass du die ports oberhalb 1024 auch von der firewall durchlassen musst. kannst die firewall zwischen server und internet entfernen, dann läufz. falls du ja die linux eigene firewall iptables oder wie sie heisst, verwendest, kannst du entsprechende regeln machen. bin mir nicht ganz sicher glaube related/etablished. also die verbindung der firewall bekannt ist wegen dem steuerungs port auf 21 danach die entsprechenden packete auf einem anderen port oberhalb 1024 zulässt. ich denke dass es an diesem missverständnis happert. bin ich auch schon drübergestolpert. -- gruss thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Fankhauser, Mittwoch, 22. November 2006 14:51:
ftp braucht mehr als einen port. port 21 für die steuerung und port 20 für die daten. falls sich aber der client hinter einer firewall oder router befindet, muss der client in den passiven modus wechseln. hier wird auch wieder der port 21 zur steuerung und irgendein port oberhalb 1024 für die daten benutzt. das bedeutet dass du die ports oberhalb 1024 auch von der firewall durchlassen musst.
Wenn das so ist, dann dürfte es mit dem Internet Explorer eigentlich auch nicht gehen, oder? Komischerweise geht es mit dem aber, wie ich vorhin festgestellt habe. Nur mit lukemftp oder gftp geht es nicht. Konqueror schafft es auch nicht, Firefox dagegen wiederum schon.
kannst die firewall zwischen server und internet entfernen, dann läufz. falls du ja die linux eigene firewall iptables oder wie sie heisst, verwendest, kannst du entsprechende regeln machen. bin mir nicht ganz sicher glaube related/etablished. also die verbindung der firewall bekannt ist wegen dem steuerungs port auf 21 danach die entsprechenden packete auf einem anderen port oberhalb 1024 zulässt.
Ich habe da im Moment die SuSEfirewall am laufen. Komischerweise kann man bei der den Dienst ftp nicht als solchen freigeben, sondern ich habe 20 und 21 händisch geöffnet. Keine Ahnung, wieso das nicht von vornherein integriert ist. Vielleicht sollte ich mich von der SuSEfirewall verabschieden. Aber neue - sprich: eigene Regeln muß man auch erst mal erfinden. Und lückenlos sollten sie ja auch sein. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andre, kann ich mich da ohne user und passwort anmelden? Grüße Max -----Ursprüngliche Nachricht----- Von: Andre Tann [mailto:atann@gmx.net] Gesendet: Mittwoch, 22. November 2006 14:24 An: opensuse-de@opensuse.org Betreff: ftp-Problem Hallo Liste. Ich habe hier ein ftp-Problem: es läuft ein vsftp, der aus dem internen Netz problemlos arbeitet. Nun möchte ich, daß er auch von außen erreichbar ist. Dazu habe ich die Ports 20/tcp und 21/tcp auf den Rechner weitergeleitet, auf dem der vsftp läuft. Nun kann man sich zwar einloggen, aber man kann zB keine Verzeichnisse angucken. Ich kann den Grund dafür einfach nicht finden. Könnte sich jemand mal auf 195.158.180.121 einloggen und ggf. gucken, wo das Problem liegen könnte? Wenn ich das erweiterte Logging einschalte, dann sehe ich auf dem Server: Nov 22 14:16:44 filesrv vsftpd: Wed Nov 22 14:16:44 2006 [pid 2827] [ftp] FTP command: Client "84.152.203.176", "PASV" Nov 22 14:16:44 filesrv vsftpd: Wed Nov 22 14:16:44 2006 [pid 2827] [ftp] FTP response: Client "84.152.203.176", "227 Entering Passive Mode (192,168,166,252,172,212)" Und dann passiert nicht mehr. Auf dem Client sieht das so aus: ftp> ls 227 Entering Passive Mode (192,168,166,252,249,204) Und dann kommt nichts mehr. Ich weiß nicht, wo ich suchen soll. Danke für Hinweise. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Maximilian Steinbauer, Mittwoch, 22. November 2006 14:58:
kann ich mich da ohne user und passwort anmelden?
Klar, anonym halt. Entweder: ftp -a 195.158.180.121 Oder Du gibst als username anonymous an, und als Paßwort (D)eine E-Mail-Adresse. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 22. November 2006 14:24 schrieb Andre Tann:
Könnte sich jemand mal auf
195.158.180.121
einloggen und ggf. gucken, wo das Problem liegen könnte?
Null Problemo hier. [mraab@patriot ~]$ ftp 195.158.180.121 Connected to 195.158.180.121. 220 "Welcome to ALPHAPHI FTP service." 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (195.158.180.121:mraab): anonymous 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> bye 221 Goodbye. [mraab@patriot ~]$ Bye Michael -- Two simple rules for life: Know Thyself, take nothing in Excess -- Socrates _____________________________________________________________________________ http://macbyte.info/ http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.18-1.2849.fc6 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Raab, Mittwoch, 22. November 2006 15:00:
Null Problemo hier. [...] 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> bye
Soweit komme ich auch. Aber ein ls scheitert. Das komische ist, daß zB der Internet Explorer durchaus in der Lage ist, das Directory anzuzeigen. Das habe ich vorhin festgestellt. Mit lukemftp oder gftp dagegen schaffe ich es nicht. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 22. November 2006 16:19 schrieb Andre Tann:
Michael Raab, Mittwoch, 22. November 2006 15:00:
Null Problemo hier.
[...]
230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> bye
Soweit komme ich auch. Aber ein ls scheitert.
Das komische ist, daß zB der Internet Explorer durchaus in der Lage ist, das Directory anzuzeigen. Das habe ich vorhin festgestellt. Mit lukemftp oder gftp dagegen schaffe ich es nicht.
-- Andre Tann Hmmm, wenn i c h den server in den passive-modus schalte, dann bringt mir auch ls eine Ausgabe. Du hast eine Datei;-)) Grüße Rüdiger
Ruediger Osses, Mittwoch, 22. November 2006 17:09:
Hmmm, wenn i c h den server in den passive-modus schalte, dann bringt mir auch ls eine Ausgabe.
Sehr dubios - warum geht es manchmal, und manchmal nicht...?
Du hast eine Datei;-))
Das stimmt... -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 22. November 2006 17:13 schrieb Andre Tann:
Ruediger Osses, Mittwoch, 22. November 2006 17:09:
Hmmm, wenn i c h den server in den passive-modus schalte, dann bringt mir auch ls eine Ausgabe.
Sehr dubios - warum geht es manchmal, und manchmal nicht...?
Na ganz einfach, manche Programme schalten von selbst in den Passiv-modus, anderen muss man es erst sagen/einstellen. Scha mal hier http://www.alenfelder.com/Informatik/pass-akt-ftp.html
Du hast eine Datei;-))
Das stimmt...
-- Andre Tann hth Rüdiger
Andre Tann wrote:
Hallo Liste.
Ich habe hier ein ftp-Problem: es läuft ein vsftp, der aus dem internen Netz problemlos arbeitet.
Nun möchte ich, daß er auch von außen erreichbar ist. Dazu habe ich die Ports 20/tcp und 21/tcp auf den Rechner weitergeleitet, auf dem der vsftp läuft. Nun kann man sich zwar einloggen, aber man kann zB keine Verzeichnisse angucken. Ich kann den Grund dafür einfach nicht finden.
Könnte sich jemand mal auf
195.158.180.121
einloggen und ggf. gucken, wo das Problem liegen könnte?
Wenn ich das erweiterte Logging einschalte, dann sehe ich auf dem Server:
Nov 22 14:16:44 filesrv vsftpd: Wed Nov 22 14:16:44 2006 [pid 2827] [ftp] FTP command: Client "84.152.203.176", "PASV" Nov 22 14:16:44 filesrv vsftpd: Wed Nov 22 14:16:44 2006 [pid 2827] [ftp] FTP response: Client "84.152.203.176", "227 Entering Passive Mode (192,168,166,252,172,212)"
Und dann passiert nicht mehr.
Genau hier scheint es wirklich zu haken. Wenn der Client den aktiven Modus verwendet, gibt es keine Verzögerungen, das Directory-Listing kommt sofort, Up- und Download starten unverzüglich.
Auf dem Client sieht das so aus:
ftp> ls 227 Entering Passive Mode (192,168,166,252,249,204)
Und dann kommt nichts mehr.
Ich weiß nicht, wo ich suchen soll.
Du musst dir anschauen, warum passives FTP nicht funktioniert. - Welche Einstellungen hast du in /etc/vsftpd.conf gemacht? - Welche Version von Suse? - Wenn Suse 10.1 und aktives AppArmor: wird "permission denied" gemeldet? - Schau doch mal auf deiner Firewall ob die ftp Module für iptables geladen wurden. Hier mal die Ausgabe von meiner Firewall mit NAT: lsmod | grep ftp ip_nat_ftp 2448 0 (unused) ip_conntrack_ftp 3568 1 iptable_nat 15790 8 [ipt_MASQUERADE ip_nat_quake3 ip_nat_proto_gre ip_nat_pptp ip_nat_mms ip_nat_irc ip_nat_h323 ip_nat_ftp] ip_conntrack 18896 7 [ipt_MASQUERADE ipt_state ip_nat_quake3 ip_conntrack_quake3 ip_nat_pptp ip_conntrack_pptp ip_conntrack_proto_gre ip_nat_mms ip_conntrack_mms ip_nat_irc ip_conntrack_irc ip_nat_h323 ip_conntrack_h323 ip_nat_ftp ip_conntrack_ftp iptable_nat] Schau doch mal, was bei dir gemeldet wird. in /sbin/SuSEfirwall2: ... function set_basic_rules() { load_module ... ip_conntrack ip_conntrack_ftp ip_nat_ftp ... Ich hoffe, die Hinweise helfen dir. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Servus Sandy und Liste, nachdem ich mich ein paar Tage nicht um das Problem kümmern konnte, muß ich mich jetzt wieder damit beschäftigen. Sandy Drobic, Mittwoch, 22. November 2006 18:32:
Du musst dir anschauen, warum passives FTP nicht funktioniert.
Mittlerweile bin ich zu einer neuen Erkenntnis gekommen: passives ftp funktioniert anders, als ich bisher dachte, durchaus. Aber der erste ls-Befehl braucht ca. eine Minute, um ein Ergebnis zu bringen. Jedes weitere ls oder jeder andere Befehl innerhalb der Session funktionieren anschließend tadellos und schnell.
- Welche Einstellungen hast du in /etc/vsftpd.conf gemacht?
# grep -v ^# /etc/vsftpd.conf write_enable=YES dirmessage_enable=YES ftpd_banner="Welcome to ALPHAPHI FTP service." ls_recurse_enable=YES hide_ids=YES local_enable=YES userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd_userlist chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list anonymous_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES syslog_enable=YES connect_from_port_20=YES pam_service_name=vsftpd run_as_launching_user=NO
- Welche Version von Suse?
10.0
- Schau doch mal auf deiner Firewall ob die ftp Module für iptables geladen wurden.
Hier mal die Ausgabe von meiner Firewall mit NAT:
lsmod | grep ftp
Bei mir: # lsmod | grep ftp #
in /sbin/SuSEfirwall2:
... function set_basic_rules() { load_module ... ip_conntrack ip_conntrack_ftp ip_nat_ftp ...
# grep load_module /sbin/SuSEfirewall2 function load_modules() load_modules ip_tables ip_conntrack $FW_LOAD_MODULES load_modules ip6table_filter ip6table_mangle Leider kann ich mir aus alledem keinen weiteren Vers machen. Insbesondere ist es wohl sinnlos, nach Fehlermeldungen zu suchen, da ja im Prinzip alles funktioniert, nur halt mit starken Verzögerungen beim ersten Mal. An DNS-Timeouts habe ich auch schon gedacht, aber daran dürfte es eigentlich nicht liegen. Der Server hat einen funktionierenden bind, der die IP des zugreifenden Clients problemlos reverse auflösen kann. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann wrote:
Servus Sandy und Liste,
nachdem ich mich ein paar Tage nicht um das Problem kümmern konnte, muß ich mich jetzt wieder damit beschäftigen.
Sandy Drobic, Mittwoch, 22. November 2006 18:32:
Du musst dir anschauen, warum passives FTP nicht funktioniert.
Mittlerweile bin ich zu einer neuen Erkenntnis gekommen: passives ftp funktioniert anders, als ich bisher dachte, durchaus. Aber der erste ls-Befehl braucht ca. eine Minute, um ein Ergebnis zu bringen. Jedes weitere ls oder jeder andere Befehl innerhalb der Session funktionieren anschließend tadellos und schnell.
Sehr seltsam. Hast du mal versucht. ftp lokal auf dem Server zu verwenden, um auszuschließen, dass es ein Firewall-Problem ist?
- Welche Einstellungen hast du in /etc/vsftpd.conf gemacht?
# grep -v ^# /etc/vsftpd.conf
write_enable=YES dirmessage_enable=YES ftpd_banner="Welcome to ALPHAPHI FTP service." ls_recurse_enable=YES
Das würde ich mir noch überlegen. User brauchen eigentlich nur das aktuelle Verzeichnis.
hide_ids=YES local_enable=YES userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd_userlist chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list anonymous_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES
Was sollen die anon_ Einträge bewirken?
syslog_enable=YES connect_from_port_20=YES pam_service_name=vsftpd run_as_launching_user=NO
Leider kann ich mir aus alledem keinen weiteren Vers machen. Insbesondere ist es wohl sinnlos, nach Fehlermeldungen zu suchen, da ja im Prinzip alles funktioniert, nur halt mit starken Verzögerungen beim ersten Mal.
Wenn die lokale Verbindung funktioniert, dann würde ich doch auf die Firewall tippen.
An DNS-Timeouts habe ich auch schon gedacht, aber daran dürfte es eigentlich nicht liegen. Der Server hat einen funktionierenden bind, der die IP des zugreifenden Clients problemlos reverse auflösen kann.
Falls nichts mehr hilft, solltest du dich mit strace an den vsftpd-Prozess hängen und den Client ein "ls" ausführen lassen. Dann sollte zumindest klar werden, bei welcher Funktion er hängt. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Servus Sandy, Sandy Drobic, Freitag, 8. Dezember 2006 18:18:
Sehr seltsam. Hast du mal versucht. ftp lokal auf dem Server zu verwenden, um auszuschließen, dass es ein Firewall-Problem ist?
Habe ich gemacht, und es hat funktioniert. Nunmehr habe ich die SuSE Firewall außer Betrieb genommen, und ein eigenes Regelwerk erstellt. Und siehe: ftp funktioniert problemlos. Ich habe mir nicht die Mühe gemacht herauszufinden, warum das SuSE-Ding nicht ordentlich gearbeitet hat. Aber ganz offensichtlich waren die SuSE-Regeln irgendwie ungeeignet für ftp.
ls_recurse_enable=YES
Das würde ich mir noch überlegen. User brauchen eigentlich nur das aktuelle Verzeichnis.
Naja, so groß ist das DoS-Risiko auch nicht, denke ich. Jedenfalls schnarcht mein System mit einer Load von 0.1 dahin. Sollte sich das mal ändern, denke ich über eine Änderung dieses Parameters nach.
anonymous_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES
Was sollen die anon_ Einträge bewirken?
Wie meinst Du das? ...enable setze ich auf Yes, weil ich anonymes ftp zulassen will. ...word_readable_only setze ich auf Yes, weil meine umask so eingestellt ist, daß dieses Bit standardmäßig nicht gesetzt ist. D.h. ich kann nicht versehentlich eine Datei für anonymous ftp freigeben, sondern muß explizit dieses Bit setzen. ...upload_enable setze ich auf Yes, weil ich will, daß mir alle möglichen Leute Dateien auf den ftp-Server werfen können. ...mkdir_write_enable ist aus demselben Grund notwendig. Wo ist das Problem?
Wenn die lokale Verbindung funktioniert, dann würde ich doch auf die Firewall tippen.
Wie gesagt, richtig getippt. Komischer Effekt ist das mit der Verzögerung aber schon. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann wrote:
Servus Sandy,
Sandy Drobic, Freitag, 8. Dezember 2006 18:18:
Sehr seltsam. Hast du mal versucht. ftp lokal auf dem Server zu verwenden, um auszuschließen, dass es ein Firewall-Problem ist?
Habe ich gemacht, und es hat funktioniert. Nunmehr habe ich die SuSE Firewall außer Betrieb genommen, und ein eigenes Regelwerk erstellt. Und siehe: ftp funktioniert problemlos. Ich habe mir nicht die Mühe gemacht herauszufinden, warum das SuSE-Ding nicht ordentlich gearbeitet hat. Aber ganz offensichtlich waren die SuSE-Regeln irgendwie ungeeignet für ftp.
Inzwischen habe ich mitbekommen, dass die Suse-Firewall die ftp-Module von iptables manchmal nicht mitlädt. Bei mir scheint es drin zu sein: /sbin/SuSEfirewall2: [...] function set_basic_rules() { load_module ip_tables ip_conntrack ip_conntrack_ftp ip_nat_ftp ip6table_filter ip6table_mangle
ls_recurse_enable=YES Das würde ich mir noch überlegen. User brauchen eigentlich nur das aktuelle Verzeichnis.
Naja, so groß ist das DoS-Risiko auch nicht, denke ich. Jedenfalls schnarcht mein System mit einer Load von 0.1 dahin. Sollte sich das mal ändern, denke ich über eine Änderung dieses Parameters nach.
Wenn irgendjemand sein Cache-Verzeichnis vom Internet Explorer oder Mozilla mal über FTP sichert, kann das doch stören, wenn andere Dienste auf dem Server laufen und dann rekursiv lange Verzeichnisse ausgelesen werden.
anonymous_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES Was sollen die anon_ Einträge bewirken?
Wie meinst Du das?
...enable setze ich auf Yes, weil ich anonymes ftp zulassen will. ...word_readable_only setze ich auf Yes, weil meine umask so eingestellt ist, daß dieses Bit standardmäßig nicht gesetzt ist. D.h. ich kann nicht versehentlich eine Datei für anonymous ftp freigeben, sondern muß explizit dieses Bit setzen. ...upload_enable setze ich auf Yes, weil ich will, daß mir alle möglichen Leute Dateien auf den ftp-Server werfen können. ...mkdir_write_enable ist aus demselben Grund notwendig.
Wo ist das Problem?
Ich wollte nur sichergehen, dass die Auswirkungen wirklich so gewünscht sind. Mein Server zum Beispiel ist fast genau entgegengesetzt konfiguriert, kein anonymer Zugriff und nur eine definierte Liste von Usern, die einloggen dürfen und dort auch nur Download mit einer Ausnahme.
Wenn die lokale Verbindung funktioniert, dann würde ich doch auf die Firewall tippen.
Wie gesagt, richtig getippt. Komischer Effekt ist das mit der Verzögerung aber schon.
Shit happens. Kannst du mal kontrollieren, welche ftp-Module bei dir in /sbin/SuSEfirewall2 geladen werden? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic, Dienstag, 12. Dezember 2006 18:00:
Andre Tann wrote:
Servus Sandy,
Sandy Drobic, Freitag, 8. Dezember 2006 18:18:
Sehr seltsam. Hast du mal versucht. ftp lokal auf dem Server zu verwenden, um auszuschließen, dass es ein Firewall-Problem ist?
Habe ich gemacht, und es hat funktioniert. Nunmehr habe ich die SuSE Firewall außer Betrieb genommen, und ein eigenes Regelwerk erstellt. Und siehe: ftp funktioniert problemlos. Ich habe mir nicht die Mühe gemacht herauszufinden, warum das SuSE-Ding nicht ordentlich gearbeitet hat. Aber ganz offensichtlich waren die SuSE-Regeln irgendwie ungeeignet für ftp.
Inzwischen habe ich mitbekommen, dass die Suse-Firewall die ftp-Module von iptables manchmal nicht mitlädt. Bei mir scheint es drin zu sein:
/sbin/SuSEfirewall2: [...]
function set_basic_rules() { load_module ip_tables ip_conntrack ip_conntrack_ftp ip_nat_ftp ip6table_filter ip6table_mangle
# grep -A 2 -B 2 conntrack /sbin/SuSEfirewall2 function set_basic_rules() { load_modules ip_tables ip_conntrack $FW_LOAD_MODULES if [ "$FW_IPv6" != no ]; then Außerdem gibt # grep ip_conntrack_ftp /sbin/SuSEfirewall2 gar kein Ergebnis. Ob das wohl der Grund war? Nun, mit meinen eigenen Regeln bin ich jetzt ohnehin ganz zufrieden, und ich hab beim Schreiben wieder was gelernt.
Wenn irgendjemand sein Cache-Verzeichnis vom Internet Explorer oder Mozilla mal über FTP sichert, kann das doch stören, wenn andere Dienste auf dem Server laufen und dann rekursiv lange Verzeichnisse ausgelesen werden.
Da kommts bei mir auch nicht mehr drauf an: # find /srv/filesrv/ -type f | wc -l 1369429
Ich wollte nur sichergehen, dass die Auswirkungen wirklich so gewünscht sind. Mein Server zum Beispiel ist fast genau entgegengesetzt konfiguriert, kein anonymer Zugriff und nur eine definierte Liste von Usern, die einloggen dürfen und dort auch nur Download mit einer Ausnahme.
All das bei ftp mit seinen Klartextpaßwörtern? Da würde ich ja eher auf sftp oder so ausweichen.
Wie gesagt, richtig getippt. Komischer Effekt ist das mit der Verzögerung aber schon.
Shit happens. Kannst du mal kontrollieren, welche ftp-Module bei dir in /sbin/SuSEfirewall2 geladen werden?
s.o. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann wrote:
Inzwischen habe ich mitbekommen, dass die Suse-Firewall die ftp-Module von iptables manchmal nicht mitlädt. Bei mir scheint es drin zu sein:
/sbin/SuSEfirewall2: [...]
function set_basic_rules() { load_module ip_tables ip_conntrack ip_conntrack_ftp ip_nat_ftp ip6table_filter ip6table_mangle
# grep -A 2 -B 2 conntrack /sbin/SuSEfirewall2 function set_basic_rules() { load_modules ip_tables ip_conntrack $FW_LOAD_MODULES
Das könnte natürlich eine Ursache dafür sein. Mal sehen, wie mein Server sich verhält, wenn ich ihn aufrüste. Hoffentlich kommt die Kaufversion von Suse 10.2 bald in die Läden.
# grep ip_conntrack_ftp /sbin/SuSEfirewall2
gar kein Ergebnis. Ob das wohl der Grund war? Nun, mit meinen eigenen Regeln bin ich jetzt ohnehin ganz zufrieden, und ich hab beim Schreiben wieder was gelernt.
Hm, wer weiss, ich bin leider auch nicht so versiert was iptables angeht.
Wenn irgendjemand sein Cache-Verzeichnis vom Internet Explorer oder Mozilla mal über FTP sichert, kann das doch stören, wenn andere Dienste auf dem Server laufen und dann rekursiv lange Verzeichnisse ausgelesen werden.
Da kommts bei mir auch nicht mehr drauf an:
# find /srv/filesrv/ -type f | wc -l 1369429
Sind diese halbwegs gut verteilt oder hast du so Monsterverzeichnisse mit 100000 und mehr Dateien drin? Die Verzeichnisse mit sehr vielen Dateien und Verzeichnisse mit sehr hoher Verzeichnistiefe sind bei mir ab und zu Spaßbremsen.
Ich wollte nur sichergehen, dass die Auswirkungen wirklich so gewünscht sind. Mein Server zum Beispiel ist fast genau entgegengesetzt konfiguriert, kein anonymer Zugriff und nur eine definierte Liste von Usern, die einloggen dürfen und dort auch nur Download mit einer Ausnahme.
All das bei ftp mit seinen Klartextpaßwörtern? Da würde ich ja eher auf sftp oder so ausweichen.
Stimmt, das ist bei mir auch angesagt. Wobei ich auch auf der Suche nach einem Dateidepot bin, welches mandantenfähig ist und nicht wie z.B. Mambo/Joomla alle zwei Wochen in der Bugtraq erwähnt wird. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic, Dienstag, 12. Dezember 2006 22:06:
# find /srv/filesrv/ -type f | wc -l 1369429
Sind diese halbwegs gut verteilt oder hast du so Monsterverzeichnisse mit 100000 und mehr Dateien drin? Die Verzeichnisse mit sehr vielen Dateien und Verzeichnisse mit sehr hoher Verzeichnistiefe sind bei mir ab und zu Spaßbremsen.
Die sind einigermaßen verteilt: # find /srv/filesrv/ -type d | wc -l 140899 Spaßbremsen gibts bei mir eigentlich keine. Jedenfalls fast keine. Der Prozessor ist eigentlich die einzige, denn der hat bloß ein paar hundert MHz... Aber die Kiste läuft und läuft, und solange sie das tut, wird sie nicht aufgeblasen.
Stimmt, das ist bei mir auch angesagt. Wobei ich auch auf der Suche nach einem Dateidepot bin, welches mandantenfähig ist und nicht wie z.B. Mambo/Joomla alle zwei Wochen in der Bugtraq erwähnt wird.
Hm, was ist denn ein mandantenfähiges Dateidepot? Da kann ich mir jetzt nichts drunter vorstellen. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann wrote:
Spaßbremsen gibts bei mir eigentlich keine. Jedenfalls fast keine. Der Prozessor ist eigentlich die einzige, denn der hat bloß ein paar hundert MHz... Aber die Kiste läuft und läuft, und solange sie das tut, wird sie nicht aufgeblasen.
Ich habe auch noch einen alten P3-650 Sambaserver. Der läuft auch ruhig jeden Tag vor sich hin.(^-^)
Stimmt, das ist bei mir auch angesagt. Wobei ich auch auf der Suche nach einem Dateidepot bin, welches mandantenfähig ist und nicht wie z.B. Mambo/Joomla alle zwei Wochen in der Bugtraq erwähnt wird.
Hm, was ist denn ein mandantenfähiges Dateidepot? Da kann ich mir jetzt nichts drunter vorstellen.
Das Ablegen von Dateien in einer Struktur, wobei Unterteile wiederum eigene Admins haben, die User anlegen können. Diese User wiederum sollten die Möglichkeit haben, Dateien abzulegen und externen die Möglichkeit geben, mit Login darauf zuzugreifen. Die User müssen also auch die Möglichkeit haben, für Dateien Zugriffsberechtigungen zu verteilen. Ob das nun ein CMS ist oder ein DAV-System, ist mir eigentlich egal, meinetwegen auch ein FTP-Server mit Web-Frontend. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Hallo Liste.
Ich habe hier ein ftp-Problem: es läuft ein vsftp, der aus dem internen Netz problemlos arbeitet.
Nun möchte ich, daß er auch von außen erreichbar ist. Dazu habe ich die Ports 20/tcp und 21/tcp auf den Rechner weitergeleitet, auf dem der vsftp läuft. Nun kann man sich zwar einloggen, aber man kann zB keine Verzeichnisse angucken. Ich kann den Grund dafür einfach nicht finden.
Hallo Andre, lies Dir mal folgendes durch: http://board.protecus.de/t4580.htm und dazu das RFC zu FTP. Für die Datenübertrgung brauchst Du (je nach Modus) weitere Ports. Da muß Deine Firewall mitparsen welche Ports benötigt werden. Gruß Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (7)
-
Andre Tann -
Maximilian Steinbauer -
Michael Raab -
Ruediger Osses -
Sandy Drobic -
Thomas Fankhauser -
Thomas Stark