Firehol regels voor een passieve sftp verbinding - Linux en overige clients

zaterdag 1 juli 2006 15:58

Acties:

Topicstarter

offtopic:
(Ik wist niet zeker of dit in NWOS of in BV moest, sorry als het verkeerd staat)

Ik ben bezig met het beveiligen van mijn webserver met FireHol. Alles werkt behalve mijn ftp verbinding..
Ik weet dat poort 20 (data-lijn) en 21 open moeten staan en dat er een hoop poorten verder in de range gebruikt worden..
Ik heb al geprobeert poort 20 als extra open te zetten met "server custom ftp-data tcp/21 default accept", maar FileZilla blijft steeds hangen bij het binnenhalen van de directory list..

Response: 200 Switching to ASCII mode.
Command: PASV
Response: 227 Entering Passive Mode (70,85,129,231,178,79)
Command: LIST -a
Error: Timeout detected!
Error: Could not retrieve directory listing

Mijn firehol.conf ziet er nu zo uit:

code:

version 5
FIREHOL_LOG_LEVEL=4
interface eth0 internet
 protection strong 10/sec 10
 server ident reject with tcp-reset
 server "icmp http ftp smtp http imap ping time" accept
 server custom ssh tcp/6187 default accept
 client "icmp ftp http https dhcp dns smtp time ntp ping whois" accept
# Vermijd dat de dhcp-client logs blijft vullen..
 server_dhcpclient_ports="udp/67"
 client_dhcpclient_ports="default"

Als ik er "server all accept" bijpleur werkt het wel gewoon..
Welke poorten er met server ftp accept opengezet worden is mij niet duidelijk..
Van de FireHol website:

Server Ports many
Client Ports many
Note: The FTP service matches both active and passive FTP connections by utilizing the FTP connection tracker kernel module.

Dit zijn nog enkele bijhorende vsFTPd instellingen:

code:

listen=YES 
connect_from_port_20=YES 
ssl_enable=YES 
force_local_logins_ssl=YES 
ssl_tlsv1=YES 
ssl_sslv2=YES 
ssl_sslv3=YES

En dit is de log terwijl FileZilla een passieve verbinding probeert op te zetten:

''IN-internet':'IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:30:48:2c:00:34:08:00 SRC=67.18.92.26 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=67 DPT=68 LEN=308

''IN-internet':'IN=eth0 OUT= MAC=fe:fd:46:55:81:e7:00:d0:ba:1f:b5:cf:08:00 SRC=204.16.208.66 DST=IP-ADRES SERVER LEN=388 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=53148 DPT=1027 LEN=368

''IN-internet':'IN=eth0 OUT= MAC=fe:fd:46:55:81:e7:00:02:fc:64:d8:af:08:00 SRC=MIJN IP-ADRES DST=IP-ADRES SERVER LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=32348 DF PROTO=TCP SPT=63617 DPT=48686 WINDOW=65535 RES=0x00 SYN URGP=0

''IN-internet':'IN=eth0 OUT= MAC=fe:fd:46:55:81:e7:00:02:fc:64:d8:af:08:00 SRC=MIJN IP ADRES DST=IP-ADRES SERVER LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=32354 DF PROTO=TCP SPT=61963 DPT=48686 WINDOW=65535 RES=0x00 SYN URGP=0

Iemand soms een tip voor mij? Alvast bedankt. (Ik draai Debial Small Unstable)

[ Voor 31% gewijzigd door Tofu op 01-07-2006 16:09 ]

zaterdag 1 juli 2006 16:07

Acties:

eamelink

Droptikkels

En als je in plaats van die custom ssh rule eventjes ssh normaal accept, werkt het dan?

zaterdag 1 juli 2006 16:12

Acties:

Tofu

Topicstarter

Helaas, als ik ssh aan server en client accept toevoeg blijft hij nog steeds steken op

Command: PASV
Response: 227 Entering Passive Mode (70,85,129,231,240,99)
Command: LIST -a

Ik heb die custum poort ingesteld omdat ik mijn sshd op een andere poort ingesteld heb.
EDIT: Als ik de naam van mijn custum regeltje aanpas werkt het ook niet:

code:

1 2	server "icmp http ftp smtp http imap ping time ssh" accept server custom ssh-custum tcp/6187 default accept

[ Voor 26% gewijzigd door Tofu op 01-07-2006 16:16 ]

zaterdag 1 juli 2006 16:22

Acties:

eamelink

Droptikkels

Een reden te meer om FTP gewoon niet te gebruiken

Maar wellicht helpt dit :

http://lists.debian.org/d...all/2004/04/msg00129.html ?

zaterdag 1 juli 2006 17:00

Acties:

Tofu

Topicstarter

lol

Bedankt voor je link, ik had er al eens opgezeten, maar had er nog niets mee geprobeerd..
Ik heb nu gevonden dan vsftpd gewoon random poortjes neemt.
Heb dus nu doormiddel van:

code:

1 2	pasv_min_port=6000 pasv_max_port=10000

De poorten proberen limiteren (maar hij neemt nog steeds random poorten hoger dan mijn maximum?)
(Is dit een goede range? Niet te veel/weinig? (+- 2 gebruikers met elk 10 transfers max))
Met je link heb ik nu dit toegevoegd aan FireHol:

code:

1	server custom ftprange "tcp/6000:10000" default accept

Maar het lukt nog steeds niet. Normaal als hij nu slecht 20, 21 en 6000:10000 gebruikt zou het toch moeten werken?

zaterdag 1 juli 2006 17:02

Acties:

eamelink

Droptikkels

Eén gebruiker gebruikt maar één datapoort, dus bij max twee gebruikers heb je maar twee datapoorten nodig. Als elke gebruiker meer connecties maakt dan kan het zijn dat je er meer nodig hebt, maar 4000 poorten lijkt me inderdaad wel voldoende

Heb je vsftpd wel opnieuw gestart na het wijzigen van de config? Want het lijkt mij niet horen dat hij poorten buiten z'n range pakt...

zaterdag 1 juli 2006 17:10

Acties:

Tofu

Topicstarter

Ik had volledig de server gereboot (harde middelen voor stoute servers

)
En eerst ging het niet, toen herstarte ik klogd om van loglevel te veranderen en nu werkt het plots wel

(raar dat het eerst niet ging).
Eigenlijk had ik zoiets direct kunnen weten

Alleszinds bedankt voor je tijd!