[W2k3/ISA/FTP] Invalid PORT command

woensdag 16 juli 2003 07:21

www.msxinfo.net

Topicstarter

Quote van http://www.microsoft.com/isa

Internet Security and Acceleration (ISA) Server 2000 is supported on all versions of Windows Server™ 2003 except Windows Server 2003, Web Edition. You must have the following updates for ISA Server to function correctly on computers running Windows Server 2003:

De ISA is gepatched tot op de laatste patch en is dus volledig supported op Windows 2003, dit kan het dus helaas niet zijn.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

Arno

PF5A

Ok excuses, die HF255 kende ik nog niet

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

woensdag 16 juli 2003 09:54

Acties:

mutsje

Certified Prutser

Cobra_lup. Welke event ID's krijg je op je Windows Server 2003? Is misschien ook handig om security audit te activeren misschien dat daar ook iets geks in komt. Verder welke Event ID's krijg je op je ISA server? Meer informatie dus.

woensdag 16 juli 2003 11:25

Acties:

Verwijderd

maak eens een connectie vanaf commandline en kijk bij welk port command het misgaat...

(cmd > ftp > help)

woensdag 16 juli 2003 15:58

Acties:

mrsar

waar een sar is,is een wodka

hmm,ik had die melding ook bij ioedere ftp server behalve die van iis,en volgens mij heb ik het zelfde gedaan, router poort gemapped naar me server,in isa een servermapping publishing ding aangemaakt naar me poort 21 en dat werkt perfect
al geprobeerd op passive/non passive?

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1

woensdag 16 juli 2003 16:24

Acties:

Verwijderd

passive is alleen noodzakelijk als de ftp client achter een fw zit...

overigens waarom gebruik je de server publishing rules en niet de web publishing rules?

[ Voor 40% gewijzigd door Verwijderd op 16-07-2003 16:26 ]

woensdag 16 juli 2003 16:27

Acties:

woensdag 16 juli 2003 18:35

www.msxinfo.net

Topicstarter

Ik ga vanavond weer verder testen met hetgeen jullie allemaal gepost hebben. Indien nodig post ik nog aanvullende info zoals Mutsje gevraagd heeft.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

woensdag 16 juli 2003 18:47

www.msxinfo.net

Topicstarter

Verwijderd schreef op 16 July 2003 @ 11:25:
maak eens een connectie vanaf commandline en kijk bij welk port command het misgaat...

(cmd > ftp > help)

Ok komt ie dan eerst de connectie op de interne netwerkkaart (welke wel werkt)

code:

ftp> open 192.168.0.254
Verbonden met 192.168.0.254.
220 Microsoft FTP Service
Gebruiker (192.168.0.254:(none)): dennis@anarchie.local
331 Password required for dennis@anarchie.local.
Wachtwoord:
230 User dennis@anarchie.local logged in.
ftp> dir
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
-rwxrwxrwx   1 owner    group            4941 Jul  1 21:42 photo_gallery.htm
-rwxrwxrwx   1 owner    group           98019 Jul  1 21:42 Sample10.jpg
-rwxrwxrwx   1 owner    group           58114 Jul  1 21:42 Sample11.jpg
-rwxrwxrwx   1 owner    group           84832 Jul  1 21:42 Sample12.jpg
-rwxrwxrwx   1 owner    group          133216 Jul  1 21:42 Sample8.jpg
-rwxrwxrwx   1 owner    group           87637 Jul  1 21:42 Sample9.jpg
226 Transfer complete.
ftp: 441 bytes ontvangen in 0,00 seconden 441000,00 kB/s.
ftp>

En nu op de externe netwerkaart waarmee het niet werkt.
(Ik weet dat 10.0.0.1 niet een routeerbaar adres is, maar deze zit in mijn DMZ en gaat vervolgens via een SpeedTouchPro 500 v4 naar buiten. De firewall op de router staat uit en alle poorten worden geforwarded naar de ISA)

code:

ftp> open 10.0.0.1
Verbonden met 10.0.0.1.
220 Microsoft FTP Service
Gebruiker (10.0.0.1:(none)): dennis@anarchie.local
331 Password required for dennis@anarchie.local.
Wachtwoord:
230 User dennis@anarchie.local logged in.
ftp> dir
500 Invalid PORT Command.
150 Opening ASCII mode data connection for /bin/ls.

En vervolgens blijft ie hangen en kan ik geen nieuwe commando's sturen.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

Verwijderd

Effe op google gezocht, denk dat je hier wel wat aan hebt:

RFC959 contains all the details you never wanted to know about how ftp works. I would definitely recommend you use that as your first point of reference.

Now... for a little more specific info that might get you going in the right direction quickly:

The PORT command is issued by the client to the server during any kind of transmission of data. It tells the server what IP Address and port number the server should connect to / use to transmit or receive the data. What I would guess most folks don't know is that ftp servers actually act as the client side of the client/server data transmissions. The user machine is the "server" when it comes to getting/sending actual data. This is done so that the TCP FIN WAIT states of closed connections don't lie around on the server (if you understand networking at layers 3, 4, and 5, you'll know that the machine that initiates the shutdown sequence is the one that gets to remove the port from server - the other side has to go through a 1 to 4 minute waiting period before the port can be returned to a "ready for use" state. having most of your ports in a "not ready for use" state on a server would render it pretty useless.)

Many times, a server will regard a particular PORT command as useless, bad, or wrong but still communicate the data. Basically, a 500 error is just telling you that the syntax is wrong. This could be due to a number of things, but often relates to the client machine being behind a device that does NAT and doesn't do it per the RFC spec. Nothing you can really do about that except tell them to use PASSIVE mode.

Heb je al geprobeert om de client in passive mode te zetten?

woensdag 16 juli 2003 19:01

Acties:

donderdag 17 juli 2003 23:50

www.msxinfo.net

Topicstarter

Ik heb het ondertussen ook via de passive mode geprobeerd en dit is helaas ook niet de oplossing. Nog steeds een invallid PORT command. Als ik in mijn ISA logs kijk, dan zie ik dat er een connectie vanaf mijn externe netwerkkaart (10.0.0.1) naar 127.0.0.1 (localhost) gedaan wordt.

Maar wat is op een multihomed machine de localhost ??? Intern of Extern ???

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

vrijdag 18 juli 2003 09:21

chown -R me base:all

intern, heb je nagedacht over het feit dat FTP 2 poorten gebruikt?

Acties:

vrijdag 18 juli 2003 09:54

www.msxinfo.net

Topicstarter

Ik maak gebruik van de standaard protocol rule voor FTP Server in ISA. Ik mag aannemen dat ie dan poort 21 & 22 open zet. Ik ga van het weekend eens proberen om die ftp sevrer op een andere machine dan ISA te laten draaien en hem dan via ISA te publishen, om te kijken of het dan wel werkt.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

mrsar

waar een sar is,is een wodka

ah hij draait op de isaserver zelf,dan moet je een rule aanmaken in de....damn hoe heet die ook alweer,zal straks ff thuis inloggen,staat iig ook een stukkie over op www.isaserver.org,ff zoeken op ftp on isaserver machine

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1

vrijdag 18 juli 2003 09:59

Acties:

vrijdag 18 juli 2003 10:04

www.msxinfo.net

Topicstarter

Ik heb hem volgens mij gevonden.
http://www.isaserver.org/...ng_FTP_server_on_ISA.html
Ik ga dit vanavond uitproberen en laat het wel even weten of het gelukt is.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

Verwijderd

Waarom zet je niet eerst alle poorten eens open op de isa server om te kijken of het dan wel werkt. Als hij dan wel werkt dan weet je dat het aan isa ligt en anders ligt het aan iis

vrijdag 18 juli 2003 10:10

Acties:

vrijdag 18 juli 2003 10:12

www.msxinfo.net

Topicstarter

Verwijderd schreef op 18 July 2003 @ 10:04:
Waarom zet je niet eerst alle poorten eens open op de isa server om te kijken of het dan wel werkt. Als hij dan wel werkt dan weet je dat het aan isa ligt en anders ligt het aan iis

Omdat ik niet van plan ben om m'n firewall helemaal open te zetten. De bedoeling van een Firewall is juist om te beginnen met een dichte situatie en open te zetten wat je nodig hebt en niet alles open zetten en vervolgens dicht zetten wat je niet nodig hebt.

Het risico is mij te groot, dat in de tijd dat ik hem open heb staan totdat ik het euvel gevonden heb, iemand binnen kan dringen en vervolgens als ik alles weer dicht heb alsnog een backdoor heeft.

(gem. zit ik nu op 3 portscans per week, dus vindt ik het wel een risico)

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

Verwijderd

JA dat weet ik maar binnen 1 minuut heb je in de gaten of het aan de isa ligt. En dan kun je alle protocollen weer dicht zetten

vrijdag 18 juli 2003 11:30

Acties:

Verwijderd

Cobra_Lup schreef op 18 juli 2003 @ 09:59:
Ik heb hem volgens mij gevonden.
http://www.isaserver.org/...ng_FTP_server_on_ISA.html
Ik ga dit vanavond uitproberen en laat het wel even weten of het gelukt is.

dit is alleen in het geval je de ftp server op de isa zelf draait.

wat misgaat is je dataport connectie. ik denk dat je vanaf de ftp server port 20 naar inet blokt. je ftp publishing werkt (je kan inloggen) alleen de dataport wordt niet opgezet.

je kan een allow rule maken in je protocol rules maken. desnoods tijdelijk alles even toestaan (alleen van intern naar inet toe).

vrijdag 18 juli 2003 12:06

Acties:

mrsar

waar een sar is,is een wodka

Verwijderd schreef op 18 July 2003 @ 11:30:
[...]

dit is alleen in het geval je de ftp server op de isa zelf draait.

wat misgaat is je dataport connectie. ik denk dat je vanaf de ftp server port 20 naar inet blokt. je ftp publishing werkt (je kan inloggen) alleen de dataport wordt niet opgezet.

je kan een allow rule maken in je protocol rules maken. desnoods tijdelijk alles even toestaan (alleen van intern naar inet toe).

ik begrijp uit een bovenstaande post ergens,dat de ftp op de isaserver zelf draait,en dan moet die how-to werken (heb nl hetzelfde)want alhet verkeer van/naar isaserver zelf wordt nl afgesloten
bij mij werkt het perfect met iis ftp,alleen niet met andere ftp servers

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1

vrijdag 18 juli 2003 18:54

Acties:

maandag 21 juli 2003 10:44

www.msxinfo.net

Topicstarter

mrsar schreef op 18 July 2003 @ 12:06:
[...]

ik begrijp uit een bovenstaande post ergens,dat de ftp op de isaserver zelf draait,en dan moet die how-to werken (heb nl hetzelfde)want alhet verkeer van/naar isaserver zelf wordt nl afgesloten
bij mij werkt het perfect met iis ftp,alleen niet met andere ftp servers

Ik heb de oplossing van bovenstaand document geprobeerd, helaas geen oplossing voor mijn probleem. Verder heb ik een aantal rules aangemaakt voor poort 20 (inbound en outbound) helaas ook geen oplossing.

Aangezien ik wel meerdere stukken over problemen met FTP op ISA ben tegen gekomen, denk ik maar de oplossing te gaan zoeken in een FTP server op een andere server in het netwerk.

Ik sta natuurlijk open voor andere oplossingen en zodra ik iets werkends heb laat ik het ook wel even weten.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

Verwijderd

zet de inet client achter een firewall?

maandag 21 juli 2003 13:05

Acties:

woensdag 23 juli 2003 11:12

www.msxinfo.net

Topicstarter

Ik heb het zowel getest met clients op mijn eigen netwerk / ander netwerk achter een firewall / client zonder firewall rechtstreeks aan internet.

Het komt dus ook voor als ik een client rechtstreeks aan de buitenkant van mijn firewall koppel d.m.v. een crosscable.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

woensdag 23 juli 2003 18:00

Maar ik speel het niet!

Is dit even toevallig! Ik heb precies hetzelfde probleem (zelfde setup ook).

Ik heb sterk het vermoeden dat het probleem ergens bij IIS6.0 moet liggen. Wanneer ik namelijk serv-u installeer werkt het perfect. Toch zou ik liever zien dat de FTP server van IIS 6.0 werkt. Ik heb ondertussen (waarschijnlijk net als de topicstarter) al 100 keer de instellingen doorgelopen maar ook nog steeds geen echte oplossing gevonden.

Ik houd dit draadje scherp in de gaten!

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

Acties:

woensdag 23 juli 2003 18:05

chown -R me base:all

Zou het kunnen dat je de machine (ISA ) ingesteld staat om de FTP request als een SSL of een HHTP(S) doorrouteert?? Wat zegt eventvwr van ISA en IIS?

Acties:

donderdag 24 juli 2003 23:09

chown -R me base:all

edit: Beetje vreemd Nederlands.
Zou het kunnen dat de machine ingesteld staat om FTP request als een SSL of HHTP(S) door te routeren? gebruik je als je protocolrule van FTP bekijkt, een secondary port (in en outbound) /edit

Acties:

CronoS76

Cobra_Lup schreef op 18 July 2003 @ 09:21:
Ik maak gebruik van de standaard protocol rule voor FTP Server in ISA. Ik mag aannemen dat ie dan poort 21 & 22 open zet. Ik ga van het weekend eens proberen om die ftp sevrer op een andere machine dan ISA te laten draaien en hem dan via ISA te publishen, om te kijken of het dan wel werkt.

Is het niet poort 20 & 21 ?

Ik had ooit dit probleem ook, maar ik had NAT draaien, bij doorsturen van de poort 20 & 21 ging het ook fout.

vrijdag 25 juli 2003 00:02

Acties:

Matthey

Okay,

Er wordt dus een commando verstuurd door je FTP Client wat de server niet wil slikken. Volgens mij heeft het te maken met FXP.

Ik heb zoiets een tijd geleden ook al is gezien, en met FlashFXP als client werkte het wel.

Installeer deze client is als je wilt (www.flashfxp.com) en maak een nieuwe site aan.
Als het niet werkt, probeer dan ook nog eens bij de optie's van die site het vinkje

[b]Site uses IP Masq / NAT ...

Afbeeldingslocatie: http://www.flashfxp.com/images/scr/f-site1x2.png

Afbeeldingslocatie: http://www.flashfxp.com/images/scr/f-site1x2.png

Lukt het nog steeds niet, post dan is de logfile van FlashFXP dan kunnen we zien welk commando ze niet wil slikken.

zaterdag 26 juli 2003 01:09

Acties:

zaterdag 26 juli 2003 13:51

chown -R me base:all

Als je wilt kan ik je screenshots sturen van mijn protocol rules en ports in/outbound.

Acties:

vrijdag 15 augustus 2003 16:04

www.msxinfo.net

Topicstarter

Als je wil kan je ze naar onderstaand e-mail adres sturen.

Afbeeldingslocatie: http://www.tweakers.net/ext/emailadres/?UserID=37284

b.v.d.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

vrijdag 15 augustus 2003 20:16

Maar ik speel het niet!

Ik weet niet of Cobra_Lup er ondertussen al uit is, maar ik in ieder geval nog niet

Ik ben ondertussen overgestapt op WS_FTP Server 4.01. Dit omdat deze naar mijn idee meer veiligheid bied en tevens over meer configuratie mogelijkheden beschikt. Het heeft zich kortom bewezen

Affijn, over op de praktijk!

Lokaal werkt alles zoals het moet, dus het probleem ligt in dit geval niet aan de FTP Server. Wanneer ik in ISA de volgende twee packet filter rules maak:

code:

Name: FTP Server TCP 21 Local
Allow Packet Transmission
Custom:
IP Protocol: TCP
Direction: Inbound
Local port: Fixed port
Port number: 21
Remote port: All ports

Name: FTP Server TCP 20 Local
Allow Packet Transmission
Custom:
IP Protocol: TCP
Direction: Outbound
Local port: Fixed port
Port number: 20
Remote port: All ports

_{bron: http://support.microsoft.com/?kbid=294679}

dan werkt active ftp naar behoren:

code:

<loginnaampje>@xs2:~% ftp <mijnip>
Connected to <mijnip>.
220-<hostname> X2 WS_FTP Server 4.0.1 (<nummertje>)
220-Testje banner message
220 <hostname> X2 WS_FTP Server 4.0.1 (<nummertje>)
Name (<mijnip>:test): test
331 Password required
Password:
230-user logged in
230-Welcome message dinges
230 user logged in
Remote system type is UNIX.
ftp> dir
200 command successful
150 Opening ASCII data connection for directory listing
drwxr-x---  2 test     System            0 Aug 15 11:52 .
drwxr-x---  2 test     System            0 Aug 15 11:52 ..
226 transfer complete
ftp>

Passive FTP uiteraard niet

Zoals Ome Bill ook al aan ons duidelijk heeft gemaakt:

NOTE: This option can only enable clients to connect by using the Active mode (Port).

Mja, een perfectionist heeft dit toch eigenlijk ook graag werkende, niet?

Ik las dus even verder in het knowledge base artikel. Een Server Publishing Rule zou hier uitkomst moeten bieden omdat deze de mogelijkheid biedt gebruik te maken van het 'FTP Access Filter' dat als het ware de als 'doorgeefluikje' dient tussen de FTP Server en de gebruiker. Het stelt de beheerder in staat een PASV connectie naar de FTP Server aan te leggen zonder hier een poort range voor op de firewall te moeten openen. Het FTP Access Filter opent deze namelijk alleen wanneer het nodig is, wat mij betreft een prachtige oplossing.

Moet het natuurlijk wel werken

code:

<loginnaampje>@xs2:~% ftp <mijnip>
Connected to <mijnip>.
220-<hostname> X2 WS_FTP Server 4.0.1 (<nummertje>)
220-Testje banner message
220 <hostname> X2 WS_FTP Server 4.0.1 (<nummertje>)
Name (<mijnip>:test): test
331 Password required
Password:
230-user logged in
230-Welcome message dinges
230 user logged in
Remote system type is UNIX.
ftp> passive
Passive mode on.
ftp> dir
227 Entering Passive Mode (<mijnip>,17,5)
425 Can't open data connection.
ftp>

Voor zover mogelijk heb ik alles proberen in te stellen zoals Microsoft beschrijft, met uitzondering van de instellingen van de FTP Server want MS gaat uit van haar eigen product. Er zijn volgens mij twee oorzaken waarom het niet wil werken:

#1 Configure the FTP server to listen only on the internal interface
Hoewel ik tijdens de setup van m'n FTP Server heb gezegd dat hij alleen naar m'n interne IP mag luisteren bind hij zich rustig aan alle interfaces (en dus IP's):

code:

1	TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

Nog geen oplossing voor kunnen vinden.

#2 Because ISA Server is publishing to itself, you must disable the FTP port attack mechanism

Bij de FTP Server van Microsoft gaat dit via een registery key, maar voor WS_FTP Server heb ik er niks over kunnen vinden. Het enige wat mijns inziens een beetje 'als hetzelfde klinkt' is deze optie http://www.ipswitch.com/S...guide/v4/ch3_hosts10.html, maar het invullen van het externe IP bied geen soulaas

Alle hulp is welkom, het moet toch potjan 3 dubbeltjes mogelijk zijn!

[ Voor 12% gewijzigd door Counter-Strike op 15-08-2003 16:09 ]

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

Acties:

vrijdag 15 augustus 2003 20:32

chown -R me base:all

Ik heb Cobra_Lup screenshots gestuurd. Ik heb nog niets gehoord van hem.
Ik zit me iets te bedenken over authenticatie. (en daar ben ik niet echt dat je zegt goed in) Zou het kunnen zijn dat je niet hoeft in te loggen onder passive mode. m.a.w. Heb je daar alleen een "anonymous" verbinding nodig, omdat je alleen download?
Of mis ik de klepel EN de klok?

Acties:

zondag 17 augustus 2003 12:13

Maar ik speel het niet!

Kabouterplop01 schreef op 15 August 2003 @ 20:16:
Ik heb Cobra_Lup screenshots gestuurd. Ik heb nog niets gehoord van hem.
Ik zit me iets te bedenken over authenticatie. (en daar ben ik niet echt dat je zegt goed in) Zou het kunnen zijn dat je niet hoeft in te loggen onder passive mode. m.a.w. Heb je daar alleen een "anonymous" verbinding nodig, omdat je alleen download?
Of mis ik de klepel EN de klok?

't Kan best zijn dat ik ze beide mis hoor!

Maar begrijp ik dat jij denk dat het aan de authorisatie ligt?

De authorisatie verloopt namelijk prima. Zowel met een 'anonymous', 'een normale' en een 'admin' user. Dit heeft op zich ook niks met de DATA mode te maken. Authorisatie verloopt namelijk via de zogenaamde 'control channel'; port 21. Wanneer je een directory listing opvraagt dan maakt de FTP Server een DATA connectie aan; dit kan in de bekende twee smaken. De PORT mode en de PASV mode.

Voor een FTP Server houdt de PORT mode in dat de data altijd wordt verzonden over port 20 (eigenlijk, ( <control channel port> - 1) ). Het is dus ook uitgaand (outbound) verkeer. De FTP Server verstuurt deze data naar een random gekozen port nummer op de client (een port >1024). Nadeel bij deze opstelling is dat wanneer de client zich achter een firewall bevindt de data connectie nooit op gang kan komen.

In PASV mode is de boel omgedraait. Hier opent de FTP Server een random port (een port >1024) en laat de client hierna toe verbinden. Zo vermijd je het firewall probleem op de client maar verplaats je het in weze naar de FTP Server. En daar heb ik nu last van. Het door Microsoft in ISA gestopte 'FTP Access Filter' biedt hier een oplossing omdat het deze random gekozen port 'on-demand' kan openen.

Het is overigens een random gekozen port omdat iedere geopende dataconnectie een apart port nummer vereist. Tien clients die gelijktijdig verbonden zijn dienen dus alle een aparte dataconnectie aan te leggen op een verschillend port nummer.

Dit is wat ik ervan begrijp

Als ik iets verkeerd zeg dan staan jullie uiteraard garant voor een verbetering, toch?

Ik ben trouwens wel benieuwd naar je screenshots, als je ze nog hebt en ergens wat tijd kunt vinden dan zou ik ze ook graag in m'n mailbox vinden!

Bij voorbaat dank!

mail: Afbeeldingslocatie: http://gathering.tweakers.net/forum/user_email_gfx/2652/C6C3EF/000000

edit:
mail adres van GoT ipv tweakers.net, is nu dus goed

[ Voor 9% gewijzigd door Counter-Strike op 15-08-2003 20:43 ]

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

Acties:

Verwijderd

#1 Configure the FTP server to listen only on the internal interface
Hoewel ik tijdens de setup van m'n FTP Server heb gezegd dat hij alleen naar m'n interne IP mag luisteren bind hij zich rustig aan alle interfaces (en dus IP's):

netstat -an | find ":21":
--------------------------------------------------------------------------------
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

--------------------------------------------------------------------------------

Nog geen oplossing voor kunnen vinden.

dit kun je uitzetten middels de "Disable Socket pooling" oplossing zie isaserver.org

zondag 17 augustus 2003 21:31

Acties:

vrijdag 22 augustus 2003 19:40

Maar ik speel het niet!

Verwijderd schreef op 17 August 2003 @ 12:13:
#1 Configure the FTP server to listen only on the internal interface
Hoewel ik tijdens de setup van m'n FTP Server heb gezegd dat hij alleen naar m'n interne IP mag luisteren bind hij zich rustig aan alle interfaces (en dus IP's):

netstat -an | find ":21":
--------------------------------------------------------------------------------
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

--------------------------------------------------------------------------------

Nog geen oplossing voor kunnen vinden.

dit kun je uitzetten middels de "Disable Socket pooling" oplossing zie isaserver.org

Op ISAServer.org (en in het MS Q artikel) leggen ze uit hoe je het kunt uitzetten voor de Microsoft FTP Service (msftpsvc):

To disable the Socket Pooling feature for the FTP service, run the following commands:
At a command prompt, change to the \Inetpub\Adminscripts\ folder.
At a command prompt, type: cscript adsutil.vbs set msftpsvc/disablesocketpooling true, and then press ENTER.
Restart the Iisadmin service for the change to take effect. At a command prompt, type:
net stop iisadmin

Start all of the services that had been running in Inetinfo.
For additional information, click the article number below to view the article in the Microsoft Knowledge Base:
238131 How to Disable Socket Pooling

Maar niet hoe dit te doen bij WS_FTP Server ik heb me al tig keer de WS_FTP Server Manager doorgelopen maar kan niet vinden hoe ik het uit kan schakelen. Dit terwijl ik wel heb opgegeven dat m'n FTP Server moet 'binden' aan ip 10.1.0.1. Ik kan echter ook doodleuk connecten op een ander ip, bijvoorbeeld 10.1.1.1. (verklaart ook de output bij netstat -an)

Lekker 'binden' dan

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

Acties:

maandag 25 augustus 2003 10:37

Maar ik speel het niet!

Schopje!

*snif* *hellup!! :P*

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

Acties:

maandag 25 augustus 2003 10:46

chown -R me base:all

Je zou bijna zeggen dat je of een CNAME (alias) record, of de host in je host file moet aanmaken. Om hardcoded die machine te benaderen. Ik ga met de topic erbij even in het boek snuffelen....vanavond laat hoop ik een antwoord te hebben.

Acties:

dinsdag 26 augustus 2003 11:19

chown -R me base:all

Ik hoop dat dit is wat je zoekt....

If the external user sends the FTP server a PORT (Normal FTP) command,
which also contains the second allocated port number inside the data of the
packet. Then the FTP server initiates the next connection to the external
user. This occurs from TCP port 20 (on the FTP server) to whatever the
allocated second port number is. This is referred to as the "Data Channel"
connection.

If you've noticed, it's the FTP server which initiated the connection
outbound, to the external user. In the world of security and firewalls,
this can be a very bad thing. Hence, the reason why PASV FTP was created.
This is also a reason why some FTP servers do not accept the PORT command.

If the user sends the FTP server a PASV (PASV FTP) command, then the FTP
server responds back to the external user with a port number that it has
allocated. SPECIAL NOTE: The port number to be used, AS WELL AS the FTP
server's IP Address is embedded inside the data of the packet sent to the
external user.

When the user receives this packet, the external user initiates the "Data
Channel" connection from its second allocated port number, to the IP Address
and port number provided from the FTP server.

See the difference? In a PASV connection, the "Data Channel" is
initiated/created by the external user. In a Normal connection, it's
established by the FTP server.

If you're using NAT (Network Address Translation), the FTP server is
probably going to be an IP Address within the established "Private Range"
(although that really isn't the issue). Now, say for instance the FTP
server is 192.168.100.10 and an external user is trying to initiate a PASV
FTP session to this FTP server. Because the IP Address 192.168.100.10 as
well as the port number is embedded inside the packet and because a lot of
NAT implementations cannot "rewrite" this information. The external user
receives this information and will try to initiate the "Data Channel"
connection to an IP Address (192.168.100.10) that will never leave their
local LAN. Hence PASV FTP fails inbound through NAT.

Acties:

dinsdag 26 augustus 2003 12:28

chown -R me base:all

http://www.google.nl/sear...=UTF-8&oe=UTF-8&hl=nl&lr=
Daar heb ik even op gezocht en het blijkt dat PASV FTP niet zo gek is op NAT.

Acties:

Verwijderd

pasv is alleen nodig als de client achter een firewall zit (dan wordt dus het datakanaal van de server naar de client geblokt). voor de server is dit een nog groter risico omdat er meer porten open moeten. het grootste probleem vind ik dat er geen authenticatie plaatsvind op het datakanaal en het feit dat de meeste ftp servers de port simpelweg met 1 ophogen...

zaterdag 4 oktober 2003 12:27

Acties:

zaterdag 4 oktober 2003 19:13

www.msxinfo.net

Topicstarter

Ik weet eindelijk waarom het niet werkt.

Voor IIS5 heb je de mogelijkheid om voor FTP socket pooling uit te schakelen met :

code:

1	cscript adsutil.vbs set msftpsvc/disablesocketpooling true

In IIS6 zit geen mogelijkheid om Socket Pooling voor FTP uit te schakelen. Voor HTTP is er wel een tooltje om het uit te schakelen nl. httpcfg deze zit in de resource kit.

Ik ben bang dat ik het dus voorlopig maar moet laten rusten, totdat er wel een oplossing voor is of misschien wel ISA 2003.

Zodra ik meer info heb post ik het wel voor diegene die dit probleem ook hebben.

[ Voor 17% gewijzigd door Luppie op 04-10-2003 12:29 ]

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties:

Verwijderd

Maar begrijp ik nu goed (je ziet door de posts het bos niet meer

) dat het intern allemaal wél naar behoren werkt?

In dit geval heb je er wellicht iets aan een Server Publishing Rule aan te maken, waarmee je de benodigde poorten van het externe naar het interne IP-adres mapt. Normaal zou je het interne IP-adres van een compleet andere machine opgeven in de config van die rule, maar het is ook gewoon mogelijk het interne IP-adres van de ISA server zelf op te geven. Dan lijkt het dus net alsof al die aanvragen vanaf een computer in het interne netwerk worden gedaan.
Oh, en misschien ten overvloede: Protocol Rules gelden niet voor de ISA server zelf. Enkel voor clients.

/me twijfelt of jullie dit misschien al geprobeerd hebben...

[ Voor 12% gewijzigd door Verwijderd op 04-10-2003 19:15 ]

woensdag 8 oktober 2003 12:56

Acties:

woensdag 8 oktober 2003 21:29

www.msxinfo.net

Topicstarter

JSS, hier had ik wel al aan gedeacht, maar het probleem ligt dus in de Socket Pooling

De FTP server krijgt op alle IP adressen de status LISTENING, d.m.v. Socket Pooling uitschakelen kan dit worden voorkomen. Doordat alle IP adressen luisteren op poort 21 kan de publishing rule in ISA niet gestart worden.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

Acties: