zaterdag 13 oktober 2012 04:25

Acties:
  • 0Henk 'm!
  • egonolieux
  • Registratie: Mei 2009
  • Laatst online: 06-12-2022

egonolieux

Professionele prutser

Topicstarter
Beste tweakers,

Op mijn FreeBSD (thuis)server heb ik een jail draaien die een aantal "publieke services" moet verzorgen, namelijk een webserver (Apache) en een FTP server (ProFTPd). Lokaal kan ik beiden zonder problemen bereiken, maar wanneer ik de FTP server van buitenaf wil bereiken dan loopt het mis.

Het ligt alleszins niet aan mijn port forwarding; de webserver is perfect bereikbaar buiten het lokale net. Het is ook zeker dat de poort niet reeds in gebruik is (2124), aangezien het met andere poorten ook niet lijkt te werken. De DNS instellingen van de jail zijn ook niet de boosdoener want het is mogelijk om te verbinden met de FTP server van FreeBSD zelf (packages/ports).

De (anonieme) ProFTPd configuratie is reeds werkend getest op het host systeem:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107

#
# *** ProFTPd Anonymous FTP Configuration ***
#

ServerName "CP17 Mainserver Anonymous FTP"
ServerType standalone
DefaultServer on

Port 2124
PassivePorts 2123 2125
UseIPv6 on

MaxInstances 30
MaxClients 50
MaxConnectionsPerHost 5
MaxLoginAttempts 3

TimeoutIdle 600
TimeoutLogin 300
TimeoutNoTransfer 300
TimeoutStalled 3600

DefaultTransferMode ascii
SyslogFacility ftp
DeferWelcome off
MultilineRFC2228 off

IdentLookups off
UseReverseDNS off
AllowOverride off

<Limit LOGIN>
  AllowAll
</Limit>

<Global>
  RequireValidShell off
  DefaultRoot ~ !wheel
  AllowOverwrite on
  AllowRetrieveRestart on
  AllowStoreRestart on
  DeleteAbortedStores off
  TimesGMT off
</Global>

<Anonymous /mnt/public_files>
  User ftp
  Group ftp
  UserAlias anonymous ftp
  
  <Directory /mnt/public_files>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
 
  <Directory /mnt/public_files/Media>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
 
  <Directory /mnt/public_files/Public>
    <Limit WRITE>
      AllowAll
    </Limit>
  </Directory>
  
  <Directory "/mnt/public_files/Shared Files">
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
  
  <Directory /mnt/public_files/Software>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
  
  <Limit LOGIN>
    AllowAll
  </Limit>
</Anonymous>

<IfModule mod_ban.c>
  BanEngine off
  BanControlsACLs all allow group wheel
  BanLog /var/log/proftpd/ban.log
  BanMessage Host %a has been banned
  BanTable /var/run/proftpd/ban.tab
</IfModule>

<IfModule mod_delay.c>
  DelayEngine on
  DelayTable "/var/run/proftpd/proftpd.delay"
</IfModule>

<IfModule mod_wrap.c>
  TCPAccessFiles /etc/hosts.allow /etc/hosts.allow
  TCPAccessSyslogLevels info warn
  TCPServiceName ftpd
</IfModule>

<IfModule mod_auth_pam.c>
  AuthPAM off
</IfModule>


Ik weet dat jails extra ingebouwde beveiligingen hebben waardoor de toegang tot de FTP server eventueel geblokkeerd zou kunnen worden, maar de vraag is dan waarom de webserver dan wel toegang krijgt.

Mijn netwerkinstellingen van de host zijn als volgt:

code:
1
2
3
4
5
6
7
8
9

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 6c:62:6d:e6:13:12
        inet 192.168.1.30 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::6e62:6dff:fee6:1312%re0 prefixlen 64 scopeid 0x2
        inet 192.168.1.31 netmask 0xffffffff broadcast 192.168.1.31
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active


En van de jail:

code:
1
2
3
4
5
6
7

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 6c:62:6d:e6:13:12
        inet 192.168.1.31 netmask 0xffffffff broadcast 192.168.1.31
ifconfig: socket(AF_INET6, SOCK_DGRAM): Protocol not supported
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active


Beiden zitten dus op dezelfde interface en op hetzelfde netwerk (192.168.1.0/24).

[Voor 19% gewijzigd door egonolieux op 13-10-2012 04:34]

zaterdag 13 oktober 2012 11:04

Acties:
  • 0Henk 'm!
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Ik vemoed dat je poorten 2123 tot 2125 moet forwarden. Heb je ook een client log van een mislukte sessie?

zaterdag 13 oktober 2012 11:51

Acties:
  • 0Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 15:48

Hero of Time

Moderator LNX

There is only one Legend

Welke poorten heb je allemaal geprobeerd? Wellicht dat je ISP nou net die blokkeert.

Commandline FTW | Tweakt met mate

zaterdag 13 oktober 2012 15:04

Acties:
  • 0Henk 'm!
  • blorf
  • Registratie: December 2003
  • Laatst online: 28-12-2022

blorf

Je kan met netcat (nc) die forwarding controleren, door handmatig letters over de ip's/poorten te sturen, al zeg je zelf dat het daar niet aan ligt. Dus als je een paar bytes naar je buiten-ip stuurt over pro-ftpd's poort moet die daarop reageren met unknown command oid. Misschien heeft ie nog een "-verbose" optie nodig omdat weer te geven.

echo "tekst" | nc <ip> <poort>

verder:
- remote services checken: http://www.yougetsignal.com/tools/open-ports/
- jail-related sysctl vars bekijken/proberen

Ook ben ik benieuwd of zowel de server als de standaard CLI ftp-client ook iets melden bij een inlog-poging. Je zegt alleen dat het mis loopt. Als er echt een time-out is zou ik het toch wel bij het modem zoeken. Zoiezo nieuwe NAT/forwarding settings altijd een paar minuten laten inwerken.

edit: je zou voor de zekerheid nog kunnen proberen of het ook zonder die jail werkt dus die ip-alias er even tijdelijk af halen en de echte ip laten forwarden. Dan kan je in ieder geval zien of die jail er iets mee te maken heeft.

[Voor 16% gewijzigd door blorf op 13-10-2012 15:25]

You are in a maze of little twisting passages, all different.

zaterdag 13 oktober 2012 15:25

Acties:
  • 0Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Nu online

CAPSLOCK2000

zie teletekst pagina 888

Je kan FTP niet zomaar forwarden. Lees even wat over het verschil tussen actieve en passieve FTP in relatie tot NAT. Waarschijnlijk moet je aan je router/firewall vertellen dat die poorten worden gebruikt voor FTP, zodat ze een speciale behandeling krijgen.

This post is warranted for the full amount you paid me for it.

zaterdag 13 oktober 2012 15:27

Acties:
  • 0Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

CAPSLOCK2000 schreef op zaterdag 13 oktober 2012 @ 15:25:
Je kan FTP niet zomaar forwarden.
Dat kan prima, zeker met een setting als:
code:
1

PassivePorts 2123 2125

zaterdag 13 oktober 2012 15:30

Acties:
  • 0Henk 'm!
  • stfn345
  • Registratie: Januari 2000
  • Laatst online: 13:32

stfn345

Dit gaat niet werken.

Je gebruikt 2124 voor de control connection, maar tegelijkertijd reserveer je 2123-2125 (dus inclusief 2124!) voor passive transfers.. Je moet je passive range zo zetten dat de control port daar niet in zit.

Overigens is het verstandig om de passive port range te vergroten...

[Voor 13% gewijzigd door stfn345 op 13-10-2012 15:32]

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee