Toon posts:

[Proftd] Welke poorten open zetten ?

Pagina: 1
Acties:
  • 126 views sinds 30-01-2008
  • Reageer

woensdag 2 november 2005 13:52

Acties:

Verwijderd

Topicstarter
Ik heb een aantal problemen met mijn ftp server. Intern werkt het goed maar via het inet door mijn router gaat het helaas verkeerd.
Ik heb proftd via de source geinstalleerd en probeer het te laten werken via inetd op een linux bak met slackware 10.2.
Mail + http server lopen allebei zeer goed, ook via inetd.

In inetd staat de volgende regel:
ftp stream tcp nowait root /usr/sbin/tcpd proftpd

in proftpd.conf
code:
1
2
3
4
5
6

ServerName                      "LinooX V2 Ftp Server"
ServerType                      inetd
DefaultServer                   on

# Port 21 is the standard FTP port.
Port                            21


In de ftp client:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

[R] Connecting to ******.nl -> DNS=****.nl IP=82.**.**.** PORT=21
[R] Connected to ******.nl
[R] 220 ProFTPD 1.2.10 Server (LinooX V2 Ftp Server) [192.168.1.191]
[R] USER gebruiker
[R] 331 Password required for gebruiker.
[R] PASS (hidden)
[R] 230 User gebruiker logged in.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211-Features:
[R]  MDTM
[R]  REST STREAM
[R]  SIZE
[R] 211 End
[R] CWD /
[R] 250 CWD command successful
[R] PWD
[R] 257 "/" is current directory.
[R] TYPE A
[R] 200 Type set to A
[R] PASV
[R] 227 Entering Passive Mode (192,168,1,191,128,6).
[R] Opening data connection IP: 82.**.**.** PORT: 32774


Iemand een idee? Op het laatst probeert de client toch te connecten via een geheel andere poor, deze poort loopt ook op bij het proberen.
Ik heb trouwens data + control poort beide open staan (20 + 21)

woensdag 2 november 2005 13:56

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Voor passive is 't wel zo handig om in proftpd.conf eventjes op te geven wélke passive-poorten er gebruikt worden door bijvoorbeeld op te nemen:

PassivePorts            60000 60020

Dit is voor mijn FTP-server meer dan voldoende, toch nooit meer dan 20 clients en die range is vrij random gekozen volgens mij :P
En die range moet je dan uiteraard ook openzetten in je router ;)

woensdag 2 november 2005 13:56

Acties:

Verwijderd

voor active FTP heb je poort 20 ook nodig (data)

woensdag 2 november 2005 13:58

Acties:

Verwijderd

Topicstarter
Poort 20 staat al open.

Is het ook mogelijk het op te lossen zonder dat deze poorten open moeten worden gezet ?

woensdag 2 november 2005 14:06

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:17

lier

MikroTik nerd

Client moet met een actieve connectie werken...
Dan wordt poort 20 en 21 gebruikt

Eerst het probleem, dan de oplossing

woensdag 2 november 2005 14:12

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Mensen, lees je ff in op de materie...

Bij actieve FTP maakt de SERVER een verbinding naar de CLIENT vanaf poort 20... Daarvoor hoeven dus helemaal geen poorten voor open gezet te worden, behalve bij de client.
Juist voor de router-problematiek is passive-FTP ;)

woensdag 2 november 2005 14:14

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:17

lier

MikroTik nerd

Osiris schreef op woensdag 02 november 2005 @ 14:12:
Mensen, lees je ff in op de materie...

Bij actieve FTP maakt de SERVER een verbinding naar de CLIENT vanaf poort 20... Daarvoor hoeven dus helemaal geen poorten voor open gezet te worden, behalve bij de client.
Juist voor de router-problematiek is passive-FTP ;)
Als je denkt dat je het beter weet, is het misschien beter om dat even te verifieren...

Serverside:
active = poort 20 en 21
passive = poort 21 en zelf te bepalen range

Eerst het probleem, dan de oplossing

woensdag 2 november 2005 14:16

Acties:
  • Sosabowski
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:20

Sosabowski

nerd

Osiris schreef op woensdag 02 november 2005 @ 14:12:
Mensen, lees je ff in op de materie...

Bij actieve FTP maakt de SERVER een verbinding naar de CLIENT vanaf poort 20... Daarvoor hoeven dus helemaal geen poorten voor open gezet te worden, behalve bij de client.
Juist voor de router-problematiek is passive-FTP ;)
Precies, bij een passive verbinding verteld de server aan de client op welke poort hij moet gaan verbinden. De server moet dus weten welke poorten er zijn doorgelust in je router. Je passive range dus.

The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. -- Bertrand Russell

woensdag 2 november 2005 14:17

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

lier schreef op woensdag 02 november 2005 @ 14:14:
[...]


Als je denkt dat je het beter weet, is het misschien beter om dat even te verifieren...

Serverside:
active = poort 20 en 21
passive = poort 21 en zelf te bepalen range
Waarbij bij active FTP de client stiekum voor de dataconnectie de server is en bij passive de server in beide gevallen ook daadwerkelijk server is ;)

Lees-ze: http://slacksite.com/other/ftp.html

Active:
Afbeeldingslocatie: http://slacksite.com/images/ftp/activeftp.gif

Passive:
Afbeeldingslocatie: http://slacksite.com/images/ftp/passiveftp.gif

woensdag 2 november 2005 14:18

Acties:
  • LinuX-TUX
  • Registratie: December 2003
  • Laatst online: 09-02 10:29

LinuX-TUX

Je vergeet IP masquarading in je config ;)

Et Voila, een linkje

Succes :Y)

edit:
Dit icm passive range aangeven en je kan van buitenaf connecten. Maak een virtual host aan om ook nog intern te kunnen ftp'en

[ Voor 91% gewijzigd door LinuX-TUX op 02-11-2005 14:25 ]

woensdag 2 november 2005 14:25

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:17

lier

MikroTik nerd

Osiris schreef op woensdag 02 november 2005 @ 14:17:
[...]

Waarbij bij active FTP de client stiekum voor de dataconnectie de server is en bij passive de server in beide gevallen ook daadwerkelijk server is ;)

Lees-ze: http://slacksite.com/other/ftp.html

Active:
[afbeelding]

Passive:
[afbeelding]
En dus welke poorten moet je op je router openen zetten voor het communiceren met de server ?

Eerst het probleem, dan de oplossing

woensdag 2 november 2005 14:26

Acties:
  • LinuX-TUX
  • Registratie: December 2003
  • Laatst online: 09-02 10:29

LinuX-TUX

lier schreef op woensdag 02 november 2005 @ 14:25:
[...]


En dus welke poorten moet je op je router openen zetten voor het communiceren met de server ?
Antwoord komt eraan:
Passive Ports? Onder Figure 2

Hoe werkt dat dan? Sim-Pel:
Uit het voorbeeldje van de mislukte connectie van DennZ:
code:
1

[R] 227 Entering Passive Mode (192,168,1,191,128,6).
192.168.1.191.128.6

HMMMM, wat zouden die laatste 2 zijn?
Daar gaan we:
128 * 256 = 32768
Tel hier 6 bij op, dan kom je op 32774. Dit is de port waarop de client weer mag communiceren met de server.
Maargoed, hij moet gewoon die range zelf definieren en forwarden, dan is die klaar.
En natuurlijk de masquarade erin zetten :+ :Y)

[ Voor 61% gewijzigd door LinuX-TUX op 02-11-2005 14:35 ]

woensdag 2 november 2005 14:38

Acties:

Verwijderd

lier schreef op woensdag 02 november 2005 @ 14:25:
En dus welke poorten moet je op je router openen zetten voor het communiceren met de server ?
Als je geen reeks wilt openzetten gebruik je alleen poort 20 en 21. De client moet dan wel een "active" sessie opzetten naar je ftp-server.
Als je een reeks opgeeft in je server config en je zorgt dat je op je firewall die reeks doorzet naar je ftp-server, dan kan de client een "passive" connectie opzetten naar je ftp-server. Je gebruikt dan poort 21 voor de connectie en de reeks voor de data connectie

[ Voor 10% gewijzigd door Verwijderd op 02-11-2005 14:38 ]

woensdag 2 november 2005 14:45

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Verwijderd schreef op woensdag 02 november 2005 @ 14:38:
[...]

Als je geen reeks wilt openzetten gebruik je alleen poort 20 en 21. De client moet dan wel een "active" sessie opzetten naar je ftp-server.
... waarbij het dus compleet nutteloos is om poort 20 in je router te portmappen ;)

woensdag 2 november 2005 14:57

Acties:
  • Sosabowski
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:20

Sosabowski

nerd

Verwijderd schreef op woensdag 02 november 2005 @ 14:38:
Als je geen reeks wilt openzetten gebruik je alleen poort 20 en 21. De client moet dan wel een "active" sessie opzetten naar je ftp-server.
En dwing je een client dus om gaten in zijn firewall te maken.

The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. -- Bertrand Russell

woensdag 2 november 2005 22:39

Acties:
  • LinuX-TUX
  • Registratie: December 2003
  • Laatst online: 09-02 10:29

LinuX-TUX

IorGie schreef op woensdag 02 november 2005 @ 14:57:
[...]
En dwing je een client dus om gaten in zijn firewall te maken.
Ja :?

Mis ik nou wat... Kan je dat onderbouwen? Als ik http doe dan doe ik dat ook niet standaard zelf vanaf port 80, moet ik dan ook een gat in m'n firewall maken???
Snap hem niet :Y)
Is het nou nog gelukt [Verwijderde gebruiker]? Altijd wel handig om een terugkoppeling te geven over hoe en wat, voor de toekomstige tweakertjes die langs dit topic heen schieten :Y)

donderdag 3 november 2005 02:01

Acties:
  • Sosabowski
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:20

Sosabowski

nerd

LinuX-TUX schreef op woensdag 02 november 2005 @ 22:39:
Mis ik nou wat... Kan je dat onderbouwen? Als ik http doe dan doe ik dat ook niet standaard zelf vanaf port 80, moet ik dan ook een gat in m'n firewall maken???
From the client side firewall this appears to be an outside system initiating a connection to an internal client--something that is usually blocked.
http://slacksite.com/other/ftp.html

The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. -- Bertrand Russell

donderdag 3 november 2005 18:59

Acties:

Verwijderd

Osiris schreef op woensdag 02 november 2005 @ 14:45:
[...]

... waarbij het dus compleet nutteloos is om poort 20 in je router te portmappen ;)
Ik kan niet terugvinden waar ik dat gezegt heb of het een enigzins rare quote ?

donderdag 3 november 2005 19:03

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Verwijderd schreef op donderdag 03 november 2005 @ 18:59:
[...]

Ik kan niet terugvinden waar ik dat gezegt heb of het een enigzins rare quote ?
Hm nee, dacht dat je dat bedoelde.. :) Excuses als ik 't dan verkeerd begrepen had.

[ Voor 9% gewijzigd door Osiris op 03-11-2005 19:03 ]

donderdag 3 november 2005 19:03

Acties:

Verwijderd

IorGie schreef op woensdag 02 november 2005 @ 14:57:
[...]
En dwing je een client dus om gaten in zijn firewall te maken.
Nee dat is niet waar!
De enige die iets open moet zetten in zijn firewall is de serverzijde.
De client maakt verbinding vanaf poorten hoger dan 1024 en zal zijn "established" connectie ook op hoger dan 1024 ontvangen.
Met een passive connectie zet je 21 open en een reeks die jij bepaald in je config van je ftp-server. Die zal je dus ook in je firewall open moeten zetten, anders krijgt men geen volwaardige verbinding.

maw. het klopt niet wat je zegt.

[ Voor 2% gewijzigd door Verwijderd op 03-11-2005 19:05 . Reden: rottig nederlands ]

donderdag 3 november 2005 19:04

Acties:

Verwijderd

Osiris schreef op donderdag 03 november 2005 @ 19:03:
[...]

Hm nee, dacht dat je dat bedoelde.. :) Excuses als ik 't dan verkeerd begrepen had.
Geen probleem :)

donderdag 3 november 2005 19:08

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Verwijderd schreef op donderdag 03 november 2005 @ 19:03:
[...]


Nee dat is niet waar!
De enige die iets open moet zetten in zijn firewall is de serverzijde.
De client maakt verbinding vanaf poorten hoger dan 1024 en zal zijn "established" connectie ook op hoger dan 1024 ontvangen.
Met een passive connectie zet je 21 open en een reeks die jij bepaald in je config van je ftp-server. Die zal je dus ook in je firewall open moeten zetten, anders krijgt men geen volwaardige verbinding.

maw. het klopt niet wat je zegt.
Euhm, jawel hoor... Stel je zit achter een NAT-router zonder portmaps als client zijnde. En je probeert een active FTP-sessie op te zetten naar de server. Dan gaat je dat niet lukken, aangezien de server niet naar de FTP-client kan connecten.
Dús als je geen passive poortrange mapt als server zijnde verplicht je de client om active FTP te gebruiken en dús verplicht je de client op gaten te maken in z'n firewall/NAT-device.

donderdag 3 november 2005 19:35

Acties:
  • LinuX-TUX
  • Registratie: December 2003
  • Laatst online: 09-02 10:29

LinuX-TUX

Osiris schreef op donderdag 03 november 2005 @ 19:08:
[...]

Euhm, jawel hoor... Stel je zit achter een NAT-router zonder portmaps als client zijnde. En je probeert een active FTP-sessie op te zetten naar de server. Dan gaat je dat niet lukken, aangezien de server niet naar de FTP-client kan connecten.
Dús als je geen passive poortrange mapt als server zijnde verplicht je de client om active FTP te gebruiken en dús verplicht je de client op gaten te maken in z'n firewall/NAT-device.
Snap het nog steeds niet, net gedaan, je krijgt idd wel van die commando's maar dan voor de client, maar ik heb GEEN forwards in de router naar mijn PC staan en de verbinding werkt perfect???

Kan je dat nader uitleggen?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

[R] USER BoomSie
[R] 331 Password required for BoomSie.
[R] PASS (hidden)
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 500 'FEAT': Command not understood.
[R] REST 100
[R] 350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
[R] REST 0
[R] 350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
[R] PWD
[R] 257 "/" is current directory.
[R] TYPE A
[R] 200 Type set to A.
[R] PORT 192,168,5,9,15,53
[R] 200 PORT command successful.
[R] LIST -al
[R] 150 Opening ASCII mode data connection for directory listing.
[R] 226 Transfer complete.
[R] List Complete: 296 bytes in 1.38 seconds (0.2 KB/s)
[R] CWD XBOX
[R] 250- 
[R] 250 CWD command successful.
[R] PWD
[R] 257 "/XBOX" is current directory.
[R] PORT 192,168,5,9,15,54
[R] 200 PORT command successful.
[R] LIST -al
[R] 150 Opening ASCII mode data connection for directory listing.
[R] 226 Transfer complete.
[R] List Complete: 627 bytes in 1.22 seconds (0.5 KB/s)
[R] CWD bios
[R] 250 CWD command successful.
[R] PWD
[R] 257 "/XBOX/tmp" is current directory.
[R] PORT 192,168,5,9,15,55
[R] 200 PORT command successful.
[R] LIST -al
[R] 150 Opening ASCII mode data connection for directory listing.
[R] 226 Transfer complete.
[R] List Complete: 1 KB in 1.16 seconds (1.4 KB/s)
[R] CDUP
[R] 250 CWD command successful.
[R] PWD
[R] 257 "/XBOX" is current directory.
[R] List (cached)
[R] List Complete: 627 bytes in 0.22 seconds (2.8 KB/s)
[R] CDUP
[R] 250 CWD command successful.
[R] PWD
[R] 257 "/" is current directory.
[R] List (cached)
[R] List Complete: 296 bytes in 0.22 seconds (1.3 KB/s)
[R] CDUP
[R] 250 CWD command successful.
[R] PWD
[R] 257 "/" is current directory.
[R] List (cached)
[R] List Complete: 296 bytes in 0.22 seconds (1.3 KB/s)
[R] CWD DEBUG
[R] 250 CWD command successful.
[R] PWD
[R] 257 "/DEBUG" is current directory.
[R] PORT 192,168,5,9,15,56
[R] 200 PORT command successful.
[R] LIST -al
[R] 150 Opening ASCII mode data connection for directory listing.
[R] 226 Transfer complete.
[R] List Complete: 687 bytes in 1.22 seconds (0.6 KB/s)
[R] QUIT
[R] 221- Goodbye
[R] 221
En inderdaad 192.168.5.9 is mijn IP en nee, porten:
192,168,5,9,15,53 = (15*256)+ 53 = 3893
192,168,5,9,15,54 = (15*256)+ 54 = 3894
192,168,5,9,15,55 = (15*256)+ 55 = 3895
192,168,5,9,15,56 = (15*256)+ 56 = 3896
Zijn allen niet geforward naar mijn PC.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

SEQ  ID ACTION S-ADDR          D-ADDR          S-PORT D-PORT PROTO - FLAGS -
                                                             NATID - TC -
~~~ ~~~ ~~~~~~ ~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~ ~~~~~~ ~~~~~~ ~~~~~ ~~~~~~~~~
  1   4  allow                                      0   4720       1
                                                    0      0     0 1

  3   5  allow                                      0   6257   tcp 1
                                                    0      0    12    NA

  5   6  allow                                      0  60000   udp 1
                                                    0  60200    11    NA

  7   7  allow                                      0  60000   tcp 1
                                                    0  60200    11    NA

  9   8  allow                                      0   8767   udp 1
                                                    0      0    10    NA

 11   9  allow                                      0    248   tcp 1
                                                    0      0     9    NA

 13  10  allow                                      0    995   tcp 1
                                                    0      0     8    NA

 15  11  allow                                      0    993   tcp 1
                                                    0      0     7    NA

 17  12  allow                                      0    443   tcp 1
                                                    0      0     6    NA

 19  13  allow                                      0    143   tcp 1
                                                    0      0     5    NA

 21  14  allow                                      0    110   tcp 1
                                                    0      0     4    NA

 23  15  allow                                      0     80   tcp 1
                                                    0      0     3    NA

 25  16  allow                                      0     25   tcp 1
                                                    0      0     2    NA

 27  17  allow                                      0  10987   tcp 1
                                                    0      0     1    NA
Iemand die deze X-files kan uitleggen :Y)

PS: Ja, tis wel een server op internet, maar houd hem voor de "legaliteit" even zonder naam ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq