in die proftpd config:

SQLLOGFile /var/log/proftpd.sqllog

einsetzen, ProFTPD starten und im Log File schauen, was nicht klappt

cu
stonki

- sorry für Doppelposting -

Coweit ich es nachvollziehen kann, ist dies das Problem:
Der Client übermittelt proFTPD per PORT seine interne, unmaskierte IP. proFTPD akzeptiert die aber in der Standardeinstellung nicht, weil die Source-IP der FTP-Verbindung die externe/öffentliche IP des Client-Netzwerkes ist und die 2 natürlich nicht übereinstimmen.
Was ich absolut nicht verstehe ist nur: Wieso funktioniert es, wenn ich MasqeradeAddress abschalte ?

mit MasqueradAdress gibst Du ja an, dass ProFTPD eine Adresse fuer passiven Transfer angeben soll, die eigentlich nicht seine ist. Dieses wird aber eigentlich von ProFTPD aus Sicherheitsgruenden verworfen.

Prinzipiell gerne, allerdings wird ja vor der Nutzung von mod_exec in Verbindung mit DefaultRoot ~ gewarnt ... oder habe ich da etwas falsch verstanden?

Gruß

naja, stimmt schon, da natuerlich Programme sind ausfuehrbar sind. Ich wuerde dann mod_exec und mod_vroot benutzen.

cu
stonki

Hi

Ich habe folgendes Problem:
ProFTPD läuft hinter einem Router und soll von außen erreichbar sein, und zwar auch für Rechner, die ihrerseits NAT zwischen sich und dem Internet haben (also auf passives FTP angewiesen sind).
Ich hab den Router so konfiguriert, daß er die Ports 20, 21 und 60000-65000 auf den ProFTPD-Rechner forwarded.
Dann hab ich in der proftpd.conf
'PassivePorts 60000 65000' und
'MasqueradeAddress meinftp.dyndns.org' eingestellt.

Ergebnis: Clients im passiven Modus können zwar connecten, das Auflösen der Verzeichnisliste schlägt jedoch fehl. Der Debug-Output von proFTPD faselt irgendwas von 'address mismatch'.

Dann hab ich testweise mal 'MasqueradeAddress' auskommentiert, und - siehe da - es funktioniert. Clients können im passiven Modus connecten und alles klappt so, wie es sollte. Im Grunde könnte ich mich damit zufrieden geben, aber ich finde es einerseits etwas unschön, daß proFTPd den FTP-Clients den internen (unmaskierten) Hostnamen verrät, und zweitens würde mich interessieren, warum es mit 'MasqueradeAddress' nicht funktioniert.
Ich bin mir ziemlich sicher, daß es *nicht* daran liegt, daß sich die IP nach dem Start von proFTPd geändert hat - das hab ich überprüft.

Hat irgendjemand ne Idee ? Oder bin ich zu doof und hab irgendwas ganz Offensichtliches übersehen ? :)

hmm, das ist schon Tricky. Probiere zu Beginn bitte erst einmal: "AllowForeignAdress on"..http://www.proftpd.de/28.0.html#12

cu
stonki

Wie kriege ich es hin das ProFTPD, nach dem meine Internet IP sich geändert hat, automatisch die neue IP gesagt bekommt... Ohne das ich ProFTPD von hand neustarten muss?

ProFTPD läuft auf einem Linux Server... Und ich habe den Server an einem Netgear Router dran...

Danke für eure Hilfe!

das einfachste:
1) Dns DNS Eintrag einrichten
2)  MasqueradeAddress proftpd.no-ip.org
3) Servertype Inetd
4) /etc/inet.d einrichten

Wieso ? Bei Inetd wird bei jeder Verbindung eine neue Instanz von ProFTPD gestartet und somit die config neu eingelesen und daher die dymanische IP neu resolved..

cu
stonki

Hallo
Ich habe ein Problem mit der mod_ifsession Installation.
Ich kann das Modul einbinden mit ./configure --with-modules=mod_ifsession

dann mach ich
make clean
make
make install

aber das modul taucht mit proftpd -l nicht in der liste auf

ka ob das wichtig is aber bei der installation steht
Nothing do be done for 'modules' nachdem er in das Verzeichnis rein ist

die *.o datei wurde erzeugt, also hat er kompiliert und gelinkt

Habe proftpd 1.2.9
Bin noch Linux Anfänger :)

Danke für die Hilfe

cu Rene

sieht soweit in ordnung aus. Rufst Du wirklich das RICHTIGE ProFTPD auf ?? "proftpd -vv" das Build Datum mal zu ueberpruefen ?

cu
stonki

Hi,

yep, das habe ich bereits eingerichtet (antivir & f-prot).
Allerdings werden damit ja lediglich bereits auf dem System befindliche Dateien geprüft - und ggf. sind diese bereits schon wieder von einem Nutzer angefordert worden. Eine Lösung mit separaten upload/download Bereichen (bei der dann von upload nach download mit einem AV Scan verschoben wird) möchte ich eigentlich nicht einrichten ...

Danke!

Gruß

mod_exec ?

Hi,

von ProFTPD 1.2.10 wurde der erste Release Candidate veroeffentlicht ! (ist also noch NICHT stabil). Links auf www.proftpd.de

cu
stonki

also konkret, wie verstell ich den buffersize ?

ich empfehle: http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-BCP.html

hallo es geht wieder mal um das leidige thema der dateistrukt

nachdem unser server auf debian läuft und ich somit keine möglichkeit sehe das modul vroot zu implementieren ohne die apt-get routine zu korrumpieren. somit bleibt mir nur der weg über hardlinks soweit ich das sehe ...

zuallererst werden alle user mal in ihr home eingesperrt soweit so gut - genau das was wir haben wollen. nun soll jedoch je nach ldap eintrag ein voller bzw nur teilweiser ftp zugang erlaubt werden (sprich die ordner nennen wir sie /ftp/technical /ftp/wirtschaft etc) wie bringe ich das nun fertig ohne mir lange scripts zu schreiben die bei anlegen eines users links von hier nach da ziehen ?

problematik soweit ich das sehe ist ja auch das bei gewissen links ich nicht mehr ins home (wo der link ja wegzeigt) zurückkomme sondern bis in root spazieren kann was mit sicherheit nicht in meinem interesse liegt.

soviel zu meinem problem, ich hoff ich hab das so gut es geht verständlich gemacht - was ich tun möchte aber nicht kann

PS: oder gibt es eine möglichkeit das vroot doch mit apt-get ins deb zu bekommen ?!

1) Du koenntest natuerlich eine externe FTP Passwd fuehren und somit die HomeDirs fuer die User getrennt von den normelen Usern fuehren
Vorteil: bei Bedarf unterschiedliche Passwoerter, da FTP ja unverschlusselt uebertragen wird; mehr flexibiliaet
Nachteil: Fuer jeden User zwei Dateien pflegen

2) Du konntest Dir einen Ruck geben und bei ProFTPD auf apt-get verzichten. Das ist es, was ich an Debian nicht mag: Was hilft Dir das beste Paketmanagement, wenn Du veraltete (1.2.5 RC) Versionen einsetzen musst.

cu
stonki

Hallo zusammen,

wir haben geschäftlich den proftpd Daemon in der Version 1.27 im Einsatz. Grundsätzlich sind wir sehr zufrieden mit dem FTP-Dienst, schon allein aufgrund den umfangreichen Security-Optionen. Das ist allerdings zur Zeit genau unser Dilemma. Wir haben relativ vielle User an unserem Server angeschlossen (~500) mit sehr restriktivem Berechtigungssystem. Jeder angeschlossene Benutzer erhält fünf für Ihn verfügbare Verzeichnisse mit speziellen Einschränkungen beim Zugriff. Mittlerweile hat sich dadurch allerdings zwangsläufig die Konfigurationsdatei auf ca. ein halbes MB aufgebläht! Dadurch wird der Rechner bis zum Limit mit dem Proftpd-Daemon (auf standalone konfiguriert) und seinen Child-Prozessen ausgelasstet, es geht sogar soweit, dass gar keine Anmeldung mehr akzeptiert wird. Hat Jemand eine Idee? Danke im Voraus für die Unterstützung!

Gruss Kai

hmm,  mehrere Moeglichkeiten: Zum einen konne man schauen, ob man die Config durch rekursiven Einsetzen der Limit Optionen entschlacken koennte. Dann koennte man schauen, ob nicht genau dafuer mod_sql mit seinen Gruppen und User Optionen das richtige waere. Aber ohne genaues Scenario und Config ist da kaum eine Aussage moeglich.

cu
stonki

P.S. Schaue ich mir gerne an, bin aber z.Z. in Hamburg und habe keinen Zugriff auf meinen support@stonki.de account und auch nur Modem Dial Up Verbindung. Bei Interesse einfach einmal Mittwoch spaet Abend eine Email schreiben.

DefaultRoot /hda3/Samba/FTPDOWNLOAD madyar

hat der User der Gruppe "madyar" auf das Verzeichnis zugriff ?

su <User>
cd /hda3/Samba/FTPDOWNLOAD

klappt das ?

cu
stonki

IMHO gehoert das nicht innerhalb einer Limit Anweisung

Hallo,


Weiss jemand Rat?
Vielen Dank im Voraus

Ralf

Leider nicht, da ich kein Mac habe. Das sieht allles eingentlich ganz ok aus. MElde Dich mal in der ProFTPD Liste an, da sind mehr Mac OSX User.

cu
stonki

mmh... Ich glaube das wird nichts denn mein Webalizer ist mit Confixx 3.0 Professional verknüpft. Ich habe nämlich einen Public-FTP der nicht mit Confixx zusammen arbeitet. Nur ich würde gerne wissen wieviel Traffic der Pub macht!

in Deinem proFTPD Source Tarball ist im Verzeichnis "contrib" ein Tool drin, das die proftpd.xfer auswertet. Zwar nicht schoen, aber klappt.