zaterdag 13 oktober 2012 04:25

Acties:
  • egonolieux
  • Registratie: Mei 2009
  • Laatst online: 06-01-2024

egonolieux

Professionele prutser

Topicstarter
Beste tweakers,

Op mijn FreeBSD (thuis)server heb ik een jail draaien die een aantal "publieke services" moet verzorgen, namelijk een webserver (Apache) en een FTP server (ProFTPd). Lokaal kan ik beiden zonder problemen bereiken, maar wanneer ik de FTP server van buitenaf wil bereiken dan loopt het mis.

Het ligt alleszins niet aan mijn port forwarding; de webserver is perfect bereikbaar buiten het lokale net. Het is ook zeker dat de poort niet reeds in gebruik is (2124), aangezien het met andere poorten ook niet lijkt te werken. De DNS instellingen van de jail zijn ook niet de boosdoener want het is mogelijk om te verbinden met de FTP server van FreeBSD zelf (packages/ports).

De (anonieme) ProFTPd configuratie is reeds werkend getest op het host systeem:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107

#
# *** ProFTPd Anonymous FTP Configuration ***
#

ServerName "CP17 Mainserver Anonymous FTP"
ServerType standalone
DefaultServer on

Port 2124
PassivePorts 2123 2125
UseIPv6 on

MaxInstances 30
MaxClients 50
MaxConnectionsPerHost 5
MaxLoginAttempts 3

TimeoutIdle 600
TimeoutLogin 300
TimeoutNoTransfer 300
TimeoutStalled 3600

DefaultTransferMode ascii
SyslogFacility ftp
DeferWelcome off
MultilineRFC2228 off

IdentLookups off
UseReverseDNS off
AllowOverride off

<Limit LOGIN>
  AllowAll
</Limit>

<Global>
  RequireValidShell off
  DefaultRoot ~ !wheel
  AllowOverwrite on
  AllowRetrieveRestart on
  AllowStoreRestart on
  DeleteAbortedStores off
  TimesGMT off
</Global>

<Anonymous /mnt/public_files>
  User ftp
  Group ftp
  UserAlias anonymous ftp
  
  <Directory /mnt/public_files>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
 
  <Directory /mnt/public_files/Media>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
 
  <Directory /mnt/public_files/Public>
    <Limit WRITE>
      AllowAll
    </Limit>
  </Directory>
  
  <Directory "/mnt/public_files/Shared Files">
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
  
  <Directory /mnt/public_files/Software>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
  
  <Limit LOGIN>
    AllowAll
  </Limit>
</Anonymous>

<IfModule mod_ban.c>
  BanEngine off
  BanControlsACLs all allow group wheel
  BanLog /var/log/proftpd/ban.log
  BanMessage Host %a has been banned
  BanTable /var/run/proftpd/ban.tab
</IfModule>

<IfModule mod_delay.c>
  DelayEngine on
  DelayTable "/var/run/proftpd/proftpd.delay"
</IfModule>

<IfModule mod_wrap.c>
  TCPAccessFiles /etc/hosts.allow /etc/hosts.allow
  TCPAccessSyslogLevels info warn
  TCPServiceName ftpd
</IfModule>

<IfModule mod_auth_pam.c>
  AuthPAM off
</IfModule>


Ik weet dat jails extra ingebouwde beveiligingen hebben waardoor de toegang tot de FTP server eventueel geblokkeerd zou kunnen worden, maar de vraag is dan waarom de webserver dan wel toegang krijgt.

Mijn netwerkinstellingen van de host zijn als volgt:

code:
1
2
3
4
5
6
7
8
9

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 6c:62:6d:e6:13:12
        inet 192.168.1.30 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::6e62:6dff:fee6:1312%re0 prefixlen 64 scopeid 0x2
        inet 192.168.1.31 netmask 0xffffffff broadcast 192.168.1.31
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active


En van de jail:

code:
1
2
3
4
5
6
7

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 6c:62:6d:e6:13:12
        inet 192.168.1.31 netmask 0xffffffff broadcast 192.168.1.31
ifconfig: socket(AF_INET6, SOCK_DGRAM): Protocol not supported
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active


Beiden zitten dus op dezelfde interface en op hetzelfde netwerk (192.168.1.0/24).

[ Voor 19% gewijzigd door egonolieux op 13-10-2012 04:34 ]

zaterdag 13 oktober 2012 11:04

Acties:
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Ik vemoed dat je poorten 2123 tot 2125 moet forwarden. Heb je ook een client log van een mislukte sessie?

zaterdag 13 oktober 2012 11:51

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:25

Hero of Time

Moderator LNX

There is only one Legend

Welke poorten heb je allemaal geprobeerd? Wellicht dat je ISP nou net die blokkeert.

Commandline FTW | Tweakt met mate

zaterdag 13 oktober 2012 15:04

Acties:
  • blorf
  • Registratie: December 2003
  • Laatst online: 22-08 16:22

blorf

Je kan met netcat (nc) die forwarding controleren, door handmatig letters over de ip's/poorten te sturen, al zeg je zelf dat het daar niet aan ligt. Dus als je een paar bytes naar je buiten-ip stuurt over pro-ftpd's poort moet die daarop reageren met unknown command oid. Misschien heeft ie nog een "-verbose" optie nodig omdat weer te geven.

echo "tekst" | nc <ip> <poort>

verder:
- remote services checken: http://www.yougetsignal.com/tools/open-ports/
- jail-related sysctl vars bekijken/proberen

Ook ben ik benieuwd of zowel de server als de standaard CLI ftp-client ook iets melden bij een inlog-poging. Je zegt alleen dat het mis loopt. Als er echt een time-out is zou ik het toch wel bij het modem zoeken. Zoiezo nieuwe NAT/forwarding settings altijd een paar minuten laten inwerken.

edit: je zou voor de zekerheid nog kunnen proberen of het ook zonder die jail werkt dus die ip-alias er even tijdelijk af halen en de echte ip laten forwarden. Dan kan je in ieder geval zien of die jail er iets mee te maken heeft.

[ Voor 16% gewijzigd door blorf op 13-10-2012 15:25 ]

You are in a maze of little twisting passages, all different.

zaterdag 13 oktober 2012 15:25

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 12-11 08:47

CAPSLOCK2000

zie teletekst pagina 888

Je kan FTP niet zomaar forwarden. Lees even wat over het verschil tussen actieve en passieve FTP in relatie tot NAT. Waarschijnlijk moet je aan je router/firewall vertellen dat die poorten worden gebruikt voor FTP, zodat ze een speciale behandeling krijgen.

This post is warranted for the full amount you paid me for it.

zaterdag 13 oktober 2012 15:27

Acties:
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

CAPSLOCK2000 schreef op zaterdag 13 oktober 2012 @ 15:25:
Je kan FTP niet zomaar forwarden.
Dat kan prima, zeker met een setting als:
code:
1

PassivePorts 2123 2125

zaterdag 13 oktober 2012 15:30

Acties:
  • stfn345
  • Registratie: Januari 2000
  • Laatst online: 00:03

stfn345

Dit gaat niet werken.

Je gebruikt 2124 voor de control connection, maar tegelijkertijd reserveer je 2123-2125 (dus inclusief 2124!) voor passive transfers.. Je moet je passive range zo zetten dat de control port daar niet in zit.

Overigens is het verstandig om de passive port range te vergroten...

[ Voor 13% gewijzigd door stfn345 op 13-10-2012 15:32 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq