upload geht nicht

[goihl]

Hallo Forum,
habe auf Suse 9 die ver 1.3.0 installiert. (Auf Suse 8.2 war der gleiche Fehler)
Wenn ich von unserem internen Netzwerk ueber die Firewall (IP 213.23.74.114)
auf den ftp (213.23.74.115) uploaden (mit leech-ftp) will, kommt erst eine
Fehlermeldung "!upload fehlgeschlagen... (upload nicht gestattet)" dann aber
"~ upload erfolgreich..." und die datei ist auf dem ftp-server.
Wenn ich das ganze von einer anderen Dyn-IP (normales DSL, keine feste IP) versuche,
kommt gleich die Fehlermeldung "!upload fehlgeschlagen... (upload nicht gestattet)"

Ich bin schon seit 2 Tagen am suchen, sehe aber den Wald vor lauter Bauemen wohl nicht
Es waere sehr nett, wenn sich einer dieser Sache annehmen kann. Danke schon mal fuer eure Hilfe.

Es sollen die Systemuser einfach in ihr Verzeichniss (chrooted) alles machen duerfen was sie moechten. Den anonym benutze ich momentan nur zum testen.
Std-verz.anonym: /srv/ftp
Verz. mit chmod 777 bearbeitet
Berechtigungen fuer alle: Benutzer/Gruppe/sonstige komplett freigegeben
firewall auf dem ftp ist nicht aktiviert

Fehler (ist unten mit drin):
213-23-74-115.zentrale-liebherr-nord.de (82.83.233.116[82.83.233.116]) - unable to open '/Textdatei.txt' for writing: No such file or directory

was habe ich uebersehen???


Konfig (10000mal geaendert und neue standard-config genommen...):

ServerName         "ftp.zentrale.de"
ServerType         standalone
DefaultServer         on

# Anpassung von goihl
UseReverseDNS         off
IdentLookups         off

#Getestet OHNE Erfolg wg upload
CapabilitiesEngine      off

RequireValidShell      off


# Port 21 is the standard FTP port.
Port            21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask            022   022

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances         30

# Set the user and group under which the server will run.
User            nobody
Group            nogroup

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot ~

# Normally, we want files to be overwriteable.
AllowOverwrite      on

# Bar use of SITE CHMOD by default
<Limit SITE_CHMOD>
#geaendert goihl DenyAll
  AllowAll
</Limit>

# A basic anonymous configuration, no upload directories.  If you do not
# want anonymous users, simply delete this entire <Anonymous> section.
<Anonymous ~ftp>
  User            ftp
  Group            ftp

  # We want clients to be able to login with "anonymous" as well as "ftp"
  UserAlias         anonymous ftp

  # Limit the maximum number of anonymous logins
  MaxClients         10

  # We want 'welcome.msg' displayed at login, and '.message' displayed
  # in each newly chdired directory.
  DisplayLogin         welcome.msg
  DisplayFirstChdir      .message

  # Limit WRITE everywhere in the anonymous chroot
# gaendert von goihl
 <Directory *>
 <Limit STOR WRITE STOU XMKD XRMD RNTO RMD MKD DELE APPE>
   AllowAll
 </Limit>
 </Directory>
 #  <Limit WRITE>
#    DenyAll
 # </Limit>



</Anonymous>
# Anpassung von goihl
#<Directory ~>
#<Limit WRITE STOR>
#AllowALL
#</Limit>
#</Directory>




DebugLog (stufe 5 ich hoffe das es nicht zu viel ist...)
Versuch anonym von anderem Netz die datei Textdatei.txt zum FTP zu bringen.
ist als datei debug.txt hier angehaengt.

Nochmals danke fuer eure Hilfe
Andreas

[VolGas]

Hallo!

Wenn man eine Firewall vor einem FTP-Server hat, dann mußt man dafür sorgen, daß diese
eine definierte Lücke (Stichwort: highports) für die immer wieder aufzubauenden FTP-Datenkanäle
offen läßt. Ebenso muß dann dem ProFTPD in seiner Konfiguration mitgeteilt werden, welchen
Port-Bereich er verwenden kann. (siehe ->PassivePorts)

FTP läuft über einen statischen Befehlskanal (Control, Port 21) und mit ständig wechselnden
Datenkanälen (Data). Info dazu unter ->Support->Docs->Active-Passive Dokumentation (engl.)

Wird ein FTP-Server mit einer dynamischen IP betrieben, so ist prinzipbedingt ein gesicherter
und zuverlässiger Betrieb meiner Meinung nach nicht möglich: ich kann nur davon abraten.
Man kann zwar mit Verrenkungen (->MasqueradeAddress) einen Serverbetrieb bereitstellen,
aber die Stabilität kann einfach nicht gewährleistet sein.

Der FTP-Client dagegen kann ruhig von einer dynamsichen IP operieren - das spielt keine Rolle.

Ich hoffe, Du kommst mit diesen Informationen weiter.

mfg.
  VolGas

[goihl]

Hallo Volgas,
erstmal danke das du dich gemeldet hast.

Der FTP steht NICHT hinter einer firewall (hat auch nicht die suse-fw aktiv) und hat eine statische IP
(S-DSL). Die Firewall hat eine statische IP aus unseren Internetadressen und dahinter (im local Netz mit NAT) befindet sich der ftp-client, welcher "halbwegs" funktioniert (siehe bitte nochmals meine Anfrage an). Die ports fuer passiv-ftp vom proFTP koennen sich vollkommen frei entfalten und die Hacker auch....
Es sieht so aus, als ob der FTP nur die IP unseres Gateway/firewall akzeptiert, und auch nicht eine andere aus unserem Internet-IP´s.
Es scheint, als ob ein Modul die updates verweigert, und ein danach startendes Modul die updates gestattet. Diese zweite Modul wird aber wohl nur gestartet wenn eine bestimmte IP die Anfrage zum upload sendet.
Mit der dyn-IP ist ein zweiter Internetzugang (A-DSL) gemeint, an welcher ich natuerlich nur einen ftp-client betreibe um den proFTP zu testen.

Vielleicht koenntest Du mir dabei weiterhelfen. Der compiler hat auch keine Fehlermeldung gebracht, dies war meine erste Vermutung, das hierbei etwas schief gegangen ist. Aber nachdem ich den Server nunmehr 3mal komplett (suse8.2 /9.0) incl proftp kompilierung aufgesetzt habe, ist immer noch dieser Fehler vorhanden.

Der Fehler sitzt meistens VOR dem computer...

Danke schon mal fuer eine Antwort von Dir.
Es ist nunmehr wirklich dringend, da der Reserve-ftp (1und1) leider ein Windows-Server ist und die "Fachleute" (Ingenieure und nicht nur Techniker) es im augenblick nicht schaffen die scripts fuer die Programme umzuschreiben. Deshalb sollte hier im Internet der linux zum laufen gebracht werden.

[VolGas]

Hallo!

Bevor wir lange rummachen:
entferne zunächst einmal Deinen "<Limit..."-Block. (oder auskommentieren)
Wenn ich das richtig sehe, dann macht er eigentlich nichts spezielles mehr, aber sicher
ist sicher. Am liebsten wäre mir aber, wenn Du Dich als regulärer User und nicht als
"anonymous" einloggen würdest.

Wenn das nicht funktioniert, dann poste bitte hier ein Debuglog ab dem Zeitpunkt
Deines Einloggens - dazu den ProFTPD beenden und mit den Parametern "-nd5" neu
starten. Die Debug-Ausgabe vor dem Login bitte verwerfen.

Dann sehen wir weiter.

mfg.
  VolGas

[goihl]

Hallo VolGas,

hier kommt der debug.log. Ich habe mich von unserem internen Netz (ueber 213.23.74.114) eingeloogt als User der auf dem FTP angelegt ist.

Es kommt am ftp-client zur fehlermeldung:
!Upload fehlgeschlagen auf 213.23.74.115 (/BOOKMARK-Uwe.DAT) (Uplaod nicht gestattet)
~Upload erfolgreich auf 231.23.74.115 (/BOOKMARK-Uwe.DAT)
und das upload ist auf dem ftp angekommen!

Wenn ich das ganze von einem anderen Internetzugang mache, kommt lediglich die erste Fehlermeldung und das upload kommt nicht an!

Kriege das log nicht hier rein, mehr als 20.000 Zeichen!
Habe es von Beginn der Anmeldung User "goihl" bis zum erfolgreichen upload
mit debug-level 5 kopiert.

Wenn Du den ftp://213.23.74.115 als anonymus aufrufst liegt das log als debug.txt vor.
Ich hoffe es macht dir nicht zu viele umstände.


Gruss Andreas

[VolGas]

Hallo Andreas!

Also mit diesem Debuglogs bekommt man ja Hirnschmerzen und irgendwie passen sie nicht
mit dem zusammen, was Du beschrieben hast. Es scheinen zwei aktive Uploads kurz hinter-
einander oder gleichzeitig zu laufen, einer davon soll wohl ab Byte 1 fortgesetzt werden.
Der erste funktioniert wohl (STOR /BOOKMARK-Uwe.DAT), aber der andere nicht.

Erstens: benutze prinzipiell für FTP den "passive mode"
Zweitens: überprüfe einmal die Zugriffsrechte der einzelnen Verzeichnisse und Dateien
Drittens: versuche einen anderen FTP-Client

Das, was ich aus dem Log entnehmen konnte, war recht verwirrend.
Mit dem Account, den Du hier zur Verfügung gestellt hast, funktionierte Up- und Download einwandfrei.
Allerdings könntest Deine proftpd.conf mit "AuthOrder mod_auth_unix.c" noch ein wenig optimieren.

mfg.
  VolGas

[goihl]

Hallo VolGas,

danke fuer deine Hilfe. Von meinem Testaccount aus geht es nun auch. Es ist etwas verwirrend, ich habe na der Maschine nichts geaendert.
Aus den logs bin ich auch nicht ganz schlau geworden, da es wie du schon sagtest, ja zwei mal einen Eintrag gegeben hat.
Als Client habe ich leech im Einsatz, und dieser geht nun von meinem Buero aus auch (meine kann uploads machen). Aber vom internen Netz habe ich immer noch das gleiche Problem. passiv ftp ist aktiv in den Clients.

Tausend Teufel. Ich werde nochmals unsere firewall (IPCop) checken. Aber alle anderen ftp-server erreiche ich ohne irgendwelche Probleme vom internen Netz aus. Also muss ich noch irgendwo Bockmist gebaut haben...

Kannst Du eine gute Seite empfehlen, wo die Benutzerberechtigungen in verbindung mit proftpd erklärt sind. Ich vermute ebenfalls das da etwas nicht in Ordnung sein koennte.

Danke fuer deine Muehe
Andreas

[VolGas]

Gut, daß es nun funktioniert.
War wohl wirklich der Client.

Zu den Rechten:
Der ProFTPD ist wie eine Usershell zu betrachten: nach dem Einloggen hat der neu gestartete,
individuelle Prozess die selbe User- und Group-ID wie der eingeloggte User - alle Root-Rechte
wurden aufgegeben. Damit hat der ProFTPD nur noch die selben Zugriffsrechte wie der User.
Die Benutzerrechte für FTP ist also genau die selben wie die Filerechte des jeweiligen Users.

mfg.
  VolGas

[goihl]

Hallo VolGas,

ist ja im Prinzip mit den Rechten recht simpel ...

Habe immer noch das Problemchen, wenn ich vom internen Netz aus etwas uploaden will.
Wenn ich den IE nehme, kommt natuerlich kein "meckern", aber der leech mault mich an. Naja ich werde dem ganzen noch zu Leibe ruecken und dann erstmal den ftp vernuenftig aufsetzen.

Danke nochmals fuer deine Hilfe und ein schoenes Wochenende

Gruss
Andreas Goihl