PASSIV / ACTIV ? PROFTP

[centi]

Hi Forum,

wie kann ich ausdrüklich bei Proftpd passives Modus einstellen. Mein FTP  anwortet immer noch mit FTP-DATA Port :x  

Kann mir Jemand HELFEN ? :roll:

[Lucy]

GG .... sachmal der dataport ist doch der 21 oder? ...

passiv modus betrifft meines erachtens nur den steuerungskanal, also im aktiven modus port 20, bzw. im passiven modus halt die range die du im proftp angibst ...

also was meinst du?
oder war des doch umgekehrt ^^ ...

musst dir mal reinziehn was aktiv und passiv modus überhaupt ausmacht, dann findeste die antworten die du suchst ...

im zweifelsfall sperre per firewall den entsprechenden port ...

[centi]

Ja das ist schon Klar.
Nun aber folgendes:
Es dibt beim mir ein dsl rourter mit dyndns, dahinten steht eben proftpd.
Innen in Net funkt Alles !
Test von Aussen:
Verbinde über ISDN zb zum freent
Test
1. über IE -> geht nicht
2. cmd ....  -> geht
3. wu_ftp_l  -> geht auch
 :?
Uber tcpdump beobachte das eben proftpd will Antworten über Port 20 senden.
Und jetz DIE FRAGE : wie stelle ich das ab ?
Übrigen Kein Annonymous nur konkrete User.

Grüsse
Peter

[centi]

und noch etwas interesantes:
wenn ich in IE Passiv FTP abschalte dann tut es -> es kommt zur Verbindung  :?:

Grüsse
Peter

[Lucy]

nu muss ich erstmal sortieren, ...

ich denke du hast recht, was diese sache mit internetexplorer betrifft, der standardmaessig wohl passives ftp macht, wenn man dies nicht expliziet in den browsereinstellung aktiviert/deaktiviert, ...
das heist also, ein aktives ftp funzt bei dir auf jeden fall, richtig?
wenn du über die windowsconsole nen ftp machst, z.B.
c:/>ftp ftp.meinserver.dyndns.de machst, leierst du auch ein aktives ftp an, deshalb sollte das auch funzen...
unter linux konsolen ftp verhält es sich genauso, und mit einem extra befehl "passive"(maybe) leierst du expliziet passiv an, aktiv scheint also konsolentechnisch immer aktiv ftp zu machen.

dein problem ist also bestimmt der router, dessen firewall deine passive range dicht macht, ...
in der proftpd.conf müsstest du eine zeile einfügen, die so aussieht:
PassivePorts 35035 49049

diesen port range müsstest du auf deiner router-firewall aufmachen.
und dies innen und aussen ...

da dein ftp client (z.b. der IE hinter dem router steckt und pakete an diese port range formuliert und rausschickt und dann ja quasi gleich wieder an deinen dyndns ftp hinter dem router wieder einliefert) ...deshalb beide seiten! ...

dann sollte dein passive ftp funzen und wenn du dann expliziet aktiv verbieten willst, weiss ich auch nicht so genau ob das per option geht ...habsch jetzt nicht in den configoptionen geguggt, ... aber dann kannst du port 20 dicht machen in der routerfirewall und aktiv-ftp wird nie wieder funzen ....

aber denke dran, das du einige konsolen ftp damit unbrauchbar machst ^^ , ...

client und server einigen sich ja, welchen modus sie benutzen, welches ja über den port 21 klargemacht wird ... bzw. der ftp server sagt ja dann ob er aktiv und passiv kann oder halt nur passiv oder nur aktiv.

sieht z.b so aus....
-----
port >1024 hier ftp client --hallo ftp server auf port 21, ich möchte passive versuchen, kannste oder kannste nicht du penner!
-----
port 21 ftp-server an ftp-client auf port >1024 , warte mal du freches stöck ich gugg mal ... ahh ja kann ich unzwar von port 35035 49049
schickst du also fortan deine commandos oki ?
-----
ftp-client an server ...alles roger cheffe! ... sende (z.B) comando AUTH TLS an deinen passivsteuerungschannel-port 35677  ...
...den zip file schicke ich dir natürlich über port 21 rüber ... ne klugscheisser?
-----
FTP-SERVER --- SICHA DAT !! ... mach hinne du spinner!!
-----
reicht das dir als antwort?

[centi]

Das alles ist Klar doch es funk nicht so richtig
config von proftpd
ServerType                      standalone
DefaultServer                   on
# Port 21 is the standard FTP port.
Port                            21
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask                           022

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
# Set the user and group under which the server will run.
User                            nobody
Group                           nogroup                                                           # To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
RequireValidShell off
# Passive Ports
PassivePorts 60000 64950
DeleteAbortedStores on
DefaultRoot                     ~
MaxClients                      5
DisplayConnect                  /home/ftp/welcome.msg
DisplayFirstChdir               /home/ftp/.message
DisplayLogin                    /home/ftp/welcome.msg
TimeoutLogin                    240
TimeoutIdle                     1200
TimeoutNoTransfer               900
TimeoutStalled                  3600
MaxClientsPerHost 3 "Mehrmaliges einloggen nicht erlaubt!"
MaxClients 5 "Sorry, aber %m User kleben bereits am FTP "
MaxInstances                    20
#
#*******Log Files******************************************
TransferLog /var/log/proftpd/proftpd.xferlog
# Some logging formats
LogFormat default "%h %l %u %t \"%r\" %s %b"
LogFormat auth "%v [%P] %h %t \"%r\" %s"
LogFormat write "%h %l %u %t \"%r\" %s %b"
# Log file/dir access
ExtendedLog /var/log/proftpd/proftpd.access_log WRITE,READ write
# Record all logins
ExtendedLog /var/log/proftpd/proftpd.auth_log AUTH auth
# Paranoia logging level....
ExtendedLog /var/log/proftpd/proftpd.paranoid_log ALL default
#*******Log Files Ende*************************************
#
<Global>
    DefaultRoot ~
    DisplayFirstChdir           /home/ftp/.message
    DisplayLogin                /home/ftp/welcome.msg
</Global>
# Normally, we want files to be overwriteable.
<Directory />
  AllowOverwrite                on
</Directory>
So sieht es aus.
ich hatte noch Einträge mit Masquer...
das ändert aber nichts.
und weiter so sieht log von ws_ftp_l
connecting to 80.145.79.90:21
Connected to 80.145.79.90 port 21
220-Willkommen auf dem FTP-Server:
 centihome.homelinux.net
 Auf dem Server ist 6865748 freies Platz
 Es sind 1 User Verbunden
 *******************************
 Dein Rechner Bacad.pppool.de


220 ProFTPD 1.2.8 Server (centihome-FTP) [linux.homeintranet.net]
USER pcftp
331 Password required for pcftp.
PASS (hidden)
230 User pcftp logged in.
PWD
257 "/" is current directory.
SYST
215 UNIX Type: L8
Host type (S): UNIX (standard)
PASV
227 Entering Passive Mode (192,168,100,2,230,78).
connecting to 192.168.100.2:58958
- -
connecting to 192.168.100.2:58958
! Connection failed 192.168.100.2 - error 10051
! connect: error 0
PORT 213,7,172,173,5,138
200 PORT command successful
LIST
150 Opening ASCII mode data connection for file list
Received 80 bytes in 0.1 secs, (800.00 Bps), transfer succeeded
226 Transfer complete.

[Lucy]

ssssssssss grrrrrrrrr   ...wie gesagt .... dein connect auf den serverseitigen-passiv port 58958 schlug fehl, weil dieser port nicht offen ist auf der routerfirewall  :roll: ,

was ich nicht verstehe ist, das er sich nicht innerhalb deiner angegebenen range befindet wie man ja deutlich sieht ^^ , ... hat natürlich zur folge, das wenn du auf der firewall nur jene ports (sprich 60000 64950) offen hast, natürlich 58958 dicht ist ?

aber scheinbar bekommst ja dann doch noch irgendwie ne connect hin? ...
scan doch mal deine kompletten netzverkehr mit ...dann siehst doch die kommunikativen ports deiner prozesse ...

empfehle iptraf, ethereal, tcpdump ...etc. ....

das ist das was ich nun im zweifelsfall machen würde ...

[Anonymous]

So sieht aus von Innen:
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting ports on centihome.homelinux.net (192.168.100.2):
(The 1135 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp                    
22/tcp     open        ssh                    
25/tcp     open        smtp                    
53/tcp     open        domain                  
80/tcp     open        http                    
110/tcp    open        pop-3                  
111/tcp    open        sunrpc                  
139/tcp    open        netbios-ssn            
143/tcp    open        imap2                  
199/tcp    open        smux                    
443/tcp    open        https                  
445/tcp    open        microsoft-ds            
995/tcp    open        pop3s                  
3306/tcp   open        mysql                  
10000/tcp  open        snet-sensor-mgmt        
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 0.182 days (since Thu Jul 03 08:49:44 2003)
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

Von Aussen ist nur port 21,25,80 offen. Die Ports oberhalp 1024 konnte ich noch nicht testen.
Hast du so eine möglichkeit dann scanne centihome.homelinux.net

[Lucy]

naja ... möglichkeiten hätte ich schon, aber ...
generell gilt doch:
ports oder port-ranges die du generell nicht dicht machst, sind generell offen, ... eine brauchbare antwort von einem scanner bekommst du doch auch nur, wenn hinter diesem port ein aktiver dienst lauscht.

das heisst also! ... da z.B. dein ftp im aktiven modus läuft, muss der port 20 auch irgendwie offen sein, was wir nun ja wissen, richtig? ...
er wird jedoch in deinem scan nicht angezeigt ... weil er erst gebraucht und geöffnet wird, wenn eine kommunikation besteht, ...

scannst du einen port direkt, bekommst du z.b wenn du auf eine firewall stösst :

 ....bei jenem port bekommst 'ne meldung änlich, ....
port iss closed or hosts seems down ...

stösst du auf einen offenen port ( z.b. 20), bekommst du eine antwort
port iss open, but no services iss listen ....

also so oder so änlich, das zum allgemeinen verständnis ...nun zum scanergebnis ... ich hoffe es ist dir recht wenn ich es hier reinschreibe, ergebnis liegt vor ...doch bevor ich dies mache frag ich dich lieber ....

soll ich? ...

fakt ist, all deine angegbenen passiv ports sind geschlossen, und du hast von mir hier dein ergebnis ...

mach sie einfach auf und alles wird gut ... und mit passiv ftp gefällts dem nachbarn auch wieder ^^
so long

[centi]

sende mir das Ergebnis per E-mai pc@centihome.homelinux.net

leider wie ich in log gesehen habe ist meine Email zum T-online nicht angekommen weil t-online nimt keine E-mail von dial-in Adressen.

[Lucy]

sag mal du hast port 25 offen gehabt ...
hab dir ne mail geschrieben ...nich erschrecken ...

kugg mal in dein postfach von root ...da ist ne mail von roger rabbit @whithouse.org und das ergebnis ...

wenne sendmail hast (antivir haste ja auch ^^), dann in /var/spool/mail/root guggen ...so long

[Lucy]

uppps zu spät ...

[centi]

Ok erschroken bin nicht, ich denke in grunde ist das ok.

[centi]

ist es möglich so etwas was Du gemacht hast mi der Emai zu unterbinden ?

[Lucy]

hmmm ^^ ... das wüsstest du gerne gell? ...

das hängt von deinem MTA ab ...

benutz du sendmail, dann nein,
...aber benutzt du qmail oder imap sollte dies nicht so einfach gehen ...

das mail-protokoll ist ein zu altes protokoll, guggst du in entsprechende RFC's ... und alle benutzer (incl. systemuser quasi von wwwrun - ftp) deiner linux büchse potentielle mail empfänger sind, wirst du deinem sendmail niemals verbieten können diesen usern auch mails schicken zu  können ...

ich habe dir eine ganze einfache mail über die konsole geschickt, dein mailserver war sehr nett und gesprächig ...
ansonsten habe ich nichts unanständiges gemacht...

willst du bei sendmail solche sachen unterbinden, gibt es keine mir bekannte möglichkeit, da musst dich dann selber schlau machen ...

hast du schon mal was von: POP bevor SMTP gehört? ...
z.B. gmx oder andere mailprovider nutzen das ^^ ...
ich hätte also ersteinmal mail abholen muessen, um über deine büchse mails zu verschicken...  
du solltest also zumindest mal überprüfen, ob dein mailserver nicht als relay agent verwendet werden kann, das ist viel schlimmer ... das heisst irgendwelche unanständigen user wie ich benutzen deine PC@deinnetz.dyndns.de mail adresse (oder irgend ner anderen fake adresse) um weltweit und in aller seelen ruhe spammails zu verschicken ...

was ich gemacht habe ... iss echt pille palle ... und tut nicht weh ^^, nervt zwar, geht aber nicht anders mit sendmail ... vielleicht gibts filter programme ...aber hab ich mich net weiter für interessiert ...
ist mir zu harmlos ...

wie gesagt ...check lieber ob du kein weltoffner mail relayer bist ^^ ....

der rest geht einfach zu weit in diesem forum hier ^^

####
absender adressen kannst du ja ehh ohne ende faken ...hehe ... da sendmail und auch andere MTA's nen reverse lookup vornehmen und dann jede gültige domain akzeptieren ...

wäre die originale mailadresse von george bush also georg.bush@whitehouse.org gewesen, hätte ich auch die faken koennen ...
halt einfach nur, weil es DNS technisch whithouse.org gibt.
also dies ist keine schlimme sache und kein zaubertrick, nur das was smtp auf grund seines "alters" hergibt ...
man muss sich einfach nur mal mit solchen interessanten sachen auseinandersetzen ...

so long ....