clients kunnen niet connecten naar glftpd - Linux en overige clients

woensdag 22 juni 2005 19:05

Acties:

0 Henk 'm!

Anoniem: 119424

Topicstarter

Mijn glftpd server (deze ftp server draait op Suse 9.1 pro) is geconfigureerd en klaar voor gebruik. Verbinden vanaf mijn locale netwerk gaat perfect. Maar iemand die van buiten mijn netwerk probeert te verbinden, kan geen verbinding krijgen. Ik neem aan dat dit probleem wordt veroorzaakt door mijn router. (speedtouch 510). De server draait op poort 8000 (tcp). Deze heb ik dan ook open gezet.

De client van buiten mijn netwerken heeft zowel met passive mode, als active mode proberen te verbinden.

Active mode levert de volgende error:

200 PORT command successful.
[R] LIST -al
[R] 425 Can't build data connection: No route to host.
[R] List Error

Passive mode levert de volgende error:

[R] Data Socket Error: Connection timed out
[R] List Error
[R] PASV
[R] 227 Entering Passive Mode (10,0,0,152,128,183)
[R] Opening data connection IP: 213.10.98.119 PORT: 32951
[R] QUIT
[R] 221- Goodbye
[R] 221
[R] Logged off: deus
[R] Data Socket Error: Connection failed

Nu weet ik dat ik bij passive mode een range van poorten moet open zetten, maar dan valt het nut van mijn router toch weg als ik gelijk een groot aantal poorten open zet? Is hier een oplossing voor? Kortom hoe los ik dit probleem zo practisch+veilig mogelijk op?

woensdag 22 juni 2005 20:59

Acties:

0 Henk 'm!

Anoniem: 74247

euh, als je in je glftpd.conf een passive port range opgeeft, en deze in/op je router ook doorlust
moet het gewoon werken, hier vroegah ook problemen mee gehad. werkte na deze oplossing dus

code:

pasv_ports <X1[-Y1]> [<X2[-Y2]> ...]
    Causes glftpd to pick an open port between X and Y when making a
    passive connection, instead of picking a random port.

    If Y isn't present, glftpd will just use X. If Y is present, glftpd
    will pick a random port between X and Y. If there are too many
    errors trying to pick a port from the current range, glftpd will move
    on to the next one.

    Exmp: pasv_ports 10000-11000 20 21 22 23 80 110 1600-1610 35000-35050

    Maximum is 50 arguments. It makes most sense to use the biggest range
    as the first argument, since it'll be used most often.

    You should have at least 10 ports per user, so if you have 30 users
    online, this range should be 300, i.e. pasv_ports 2000-2300

woensdag 22 juni 2005 22:57

Acties:

0 Henk 'm!

Anoniem: 119424

Topicstarter

Anoniem: 74247 schreef op woensdag 22 juni 2005 @ 20:59:
euh, als je in je glftpd.conf een passive port range opgeeft, en deze in/op je router ook doorlust
moet het gewoon werken, hier vroegah ook problemen mee gehad. werkte na deze oplossing dus

code:

pasv_ports <X1[-Y1]> [<X2[-Y2]> ...]
    Causes glftpd to pick an open port between X and Y when making a
    passive connection, instead of picking a random port.

    If Y isn't present, glftpd will just use X. If Y is present, glftpd
    will pick a random port between X and Y. If there are too many
    errors trying to pick a port from the current range, glftpd will move
    on to the next one.

    Exmp: pasv_ports 10000-11000 20 21 22 23 80 110 1600-1610 35000-35050

    Maximum is 50 arguments. It makes most sense to use the biggest range
    as the first argument, since it'll be used most often.

    You should have at least 10 ports per user, so if you have 30 users
    online, this range should be 300, i.e. pasv_ports 2000-2300

hm ja dat had ik gelezen, maar naar mijn idee betekent dit dat ik een hele serie poorten moet open zetten toch (in NAPT)? Als ik 15 mensen tegelijk wil laten verbinden, dan moet ik toch ook minstens 15 poorten open zetten? Verbeter me aub als dit niet klopt. Is er geen andere oplossing dat ik die poorten gesloten kan houden om zo beveiligingsrisico's te voorkomen?

Hoe komt het dat ik bij deze server extra poorten moet open zetten? Vroeger werkte ik met bullet proof ftp server op mijn windows systeem. Het openen van 1 poort, bijv 21, was voldoende om deze server perfect te laten werken.

donderdag 23 juni 2005 13:32

Acties:

0 Henk 'm!

Anoniem: 119424

Topicstarter

Verder niemand met een reactie?

donderdag 23 juni 2005 13:36

Acties:

0 Henk 'm!

Anoniem: 68554

Sjah, passive, dan moet de server maar zeggen waar de client naar toe moet connecten.
In jouw geval is dat 10.0.0.152, en daar kan niemand mee connecten.
Maar dit is weer een typisch geval van documentatie totaal niet gelezen.

glftpd heeft namelijk een oplossing voor genatte bakken, en die kan je vinden in het bestand glftpd.docs welke je in the tarball vind. Succes.

donderdag 23 juni 2005 13:39

Acties:

0 Henk 'm!

Anoniem: 68554

Verder zou ik je 510 in sip_spoof mode zetten, zodat je linux doos het publieke ip krijgt. NAT is een lelijke oplossing, en al helemaal voor servers (imho).

vrijdag 24 juni 2005 00:25

Acties:

0 Henk 'm!

Anoniem: 119424

Topicstarter

Ik heb een paar wijzigingen in de config aangebracht en de server begint al wat te werken.

Wijzigingen:
pasv_addr <mijn internet ip> 1
pasv_ports 8001 8002 8003 8004

De server doet het al redelijk, maar nog niet alle mappen kunnen goed geopend worden. De ene keer gaan ze open, de andere keer niet.

Als ze niet open gaan ontstaat de volgende error:

[R] 200 PORT command successful.
[R] LIST -al
[R] 425 Can't build data connection: No route to host.
[R] List Error
[R] PWD
[R] 257 "/Drivers" is current directory.
[R] PASV
[R] 425 Can't open passive connection: Address already in use.
[R] PORT 10,0,0,10,10,180
[R] 200 PORT command successful.
[R] LIST -al
[R] 425 Can't build data connection: No route to host.
[R] List Error

1. Hoe is dit op te lossen? Nog meer poorten openen?
2. Waarom moet ik al die poorten openen? Toen ik nog met bullet proof ftp server werkte onder windows, moest ik alleen poort 21 openen en hij werkte pefect.
3. Is er een manier om alles perfect te laten werken en daarbij maar 1 extra poort te moeten openen?
4. Vormt het openen van deze extra poorten geen beveiligings risico?

Ps. Mijn speedtouch 510 werkt nu eenmaal met NAT dus daar kan ik niet omheen.

[ Voor 22% gewijzigd door Anoniem: 119424 op 24-06-2005 01:14 ]

vrijdag 24 juni 2005 08:49

Acties:

0 Henk 'm!

Anoniem: 68554

Ik reserveer altijd 2500 voor pasv_ports en 2500 voor active_ports

zondag 26 juni 2005 00:01

Acties:

0 Henk 'm!

Anoniem: 119424

Topicstarter

Anoniem: 68554 schreef op vrijdag 24 juni 2005 @ 08:49:
Ik reserveer altijd 2500 voor pasv_ports en 2500 voor active_ports

Ja ok, maar hoe lost dat mijn error op? Mij leek het inderdaad normaal dat je 1 poort voor het verkeer had en 1 controll poort ipv 100 poorten voor de passive connections. Kennelijk gaat hier toch ietts fout?

zondag 26 juni 2005 11:17

Acties:

0 Henk 'm!

cool_zero

Als je active ftp gebruikt heb je inderdaad 1 poort voor control en 1 poort voor data. (standaard 21 en 20) De data verbinding wordt dan vanaf de server opgezet.
Bij passive ftp wordt de data verbinding vanaf de client opgezet. Door per client een andere datapoort te nemen kan de server bepalen welke client een nieuwe dataconnectie maakt. Daardoor moet er voor elke client een data poort worden doorgelust in de router.
Clients die zelf ook weer achter een router zitten moeten meestal gebruik maken van passive ftp, dus daardoor moet jij meerdere poorten openzetten voor de passive data connecties.

zondag 26 juni 2005 12:16

Acties:

0 Henk 'm!

Anoniem: 119424

Topicstarter

ok, maar toen ik bullet proof ftp server gebruikte, konden mensen ook gewoon verbinden met de server in passive mode, zonder dat ik ook maar één extra poort moest open zetten. Alleen poort 21 stond open. Hier is een stukje info van een verbinding van bullet proof ftp server:

code:

WinSock 2.0 -- OpenSSL 0.9.7d 17 Mar 2004
[R] Connecting to janwillem -> IP=145.53.148.27 PORT=21
[R] Connected to janwillem
[R] 220 Spitfire FTP Server
[R] USER Deus
[R] 331 Password required for Deus.
[R] PASS (hidden)
[R] 230 User Deus logged in.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 500 Unknown command.
[R] REST 100
[R] 350 REST supported. Ready to resume at byte offset 100.
[R] REST 0
[R] 350 REST supported. Ready to resume at byte offset 0.
[R] PWD
[R] 257 "/" is current directory.
[R] TYPE A
[R] 200 Type set to A.
[R] PASV
[R] 227 Entering Passive Mode (145,53,148,27,16,102)
[R] Opening data connection IP: 145.53.148.27 PORT: 4198
[R] LIST -al
[R] 150 Data connection accepted from 213.10.98.119:21941; transfer starting.
[R] 226 Transfer ok
[R] List Complete: 811 bytes in 0.27 seconds (3.0 KB/s)

Zoals je ziet kan de passive connection gewoon netjes aangelegd worden, en dat terwijl die poort niet open staat.

1. Hoe is dit mogelijk? Is er iets op mijn linux systeem dat die passive connections tegen houdt?
2. Waarom zou ik met bullet proof ftp server geen poorten in mijn router moeten openen voor passive connections en met glftpd wel?

zondag 26 juni 2005 23:33

Acties:

0 Henk 'm!

cool_zero

1. Hoe is dit mogelijk? Is er iets op mijn linux systeem dat die passive connections tegen houdt?

Ik vermoed dat dit niet het geval is, anders zou je ook problemen hebben met de control poort.

2. Waarom zou ik met bullet proof ftp server geen poorten in mijn router moeten openen voor passive connections en met glftpd wel?

Sommige ftp servers gebruiken truukjes om het beter samen te laten werken met routers. Maar hoe dit precies werkt weet ik ook niet.

Deze regel:

code:

1	425 Can't open passive connection: Address already in use.

geeft aan dat er iets fout gaat, maar wat precies kan ik er ook niet uit afleiden. Het pasv_ports commando kun je trouwens ook een range opgeven, dus 8000-8100 i.p.v. 8000 8001 .. 8100

Pagina: 1

Reageer