ja kannst du testen ...
http://www.proftpd.de/forum2/viewtopic.php?t=186

...
hmmm mit der abfrage hängt wohl vom client ab ...
ws_ftp fragt tatsächlich vorher und zeigt dir den zertifakationinhalt an, ...
smart ftp wohl scheinbar nicht, da musst dich mal bissel hinsetzen und testen und guggen (ich glaube nutzt aber dein windowsinternen zertspeicher, ... ansonsten scheint smartftp ganz allgemein gültige zertifikate anzunehmen ... iss natürlich nich so schick ...aber ich hab mich damit noch nicht weiter beschäftigt... ich bleib ma dranne)

ws_ftp_pro hat jedenfalls seinen eigenen zertifikationsspeicher ...
und da ist es so wie es sein soll ...

so long

ja wörsty , das meinte ich doch ...
sftp hat nichts mit ftps zu tun also auch nicht mit proftp ...

........
ich habe es mit smartftp nun auch hinbekommen ... es funzt prima ...und war tatsächlich eine einstellungssache ...

dieser smartftp client iss nen klasse teil ...kann ich wirklich empfehlen ... und den kannste klasse konfigurieren (war übrigens mein problem ^^)...

der hatte quasi nach dem erfolgreichen login ein List -aL abgesetzt ...da kam der server anundfürsich nicht mit klar
muss ich mir nochmal die sache mit den regular expressions im path deny filter anguggen der da greift in der proftpd.conf ...
 ... thats it ...

also iss nen hammer ftpclient der smartftp !!! ...

ja und ws_ftp isst leider weder free noch shareware ...


so long

hi peter ... ich schreib dir mal ne e-mail ...hast mir ja schon eine geschickt gell? ... also deine adresse hab ich so oder so ^^

iss halt einfach so, das des hier nen ftp forum ist ...weisst? ...
also wenn wir das thema hier erweitern, iss glaub ich nicht so günstig ...

werde dir also antworten... gib mir bissel zeit oki? ...
so long ...

... als grafischen windows ftp client hab ich es bisher nur ernsthaft mit WS_FTP_PRO probiert und es klapt hervorrragend.
smart FTP sollte glaub ich auch klappen ... und generell sollten alle ftp clienten funzen , die ftp via SSL/TLS machen können und an an einen solchen server rankommen.

hmmm was ist redhats sftp ?
auch was grafisches?

ich weiss nur das es einen unterschied zwischen sftp und ftps gibt ...
das sollte man nicht verwechseln.
das was proftp mit mod_tls unterstützt ist glaub ich ftps.

sftp ist wohl dann mehr sowas wie mit secure copy, das kennste bestimmt oder? ...

scp /etc/meine_datei root@mein.server.de:/etc/hier_solls_her
(hat für meinen geschmack nicht wirklich mehr was mit dem unseren verständnis bekannten ftp zu tun ... )
und das ist ein sftp quasi ... und benutzt standardmässig port 22 wie ssh

das haben dann halt einige entwickler grafisch unter linux und windows umgesetzt (sftp clienten) ... ich hatte mich da auch mal rangewagt, und den shaolinftp probiert der sftp macht ... ist aber etwas umständlich unter windows zu händeln und des kannste eigentlich keinem normalen user anbieten ^^ ...

sagt dir cygwin etwas? ... wenn ja ... sowas musste dann halt auch installen ...und und und ...(zumindest bei shaolinsftp)
du kannst mal bei google nach winscp suchen ...
das ist glaub ich nen guter sftp client für windows ...
wenns dich interessiert findet man da ne ganze masse zu ... ist aber was ganz anderes als ftps ...

http://download.freenet.de/archiv_w/winscp_5076.html
http://winscp.vse.cz/eng/



P.S. probiere gerade smartftp (nicht comerziell genutzt ist der freeware) ...
da gibts etwas probleme ... sehe ich gerade ...aber das sind bestimmt nur einstellungsfragen beim clienten ...*hoffundbet* ...
also ich komme schoooon drauf mit smartftp via tls auf den server, d.h. zertifikatstechnisch klappt des scheinbar ...
aber es gibt irgendein port problem .... , nicht das der den verschlüsselt ausgehandelten dataport nicht entschlüsseln konnte ... dann hat das doch was mit den zertifikaten zu tun ...GG )...

naja ich hab auch gelesen das sich einige clients ehh schwer tun mit ssl/tls , selbst wenn sie das optional anbieten ...
naja man kann nicht alles haben ...

sehr oft wurde hier das thema mod_tls angesprochen und es hat mich doch schon irgendwie viel mühe, nerven und zeit gekostet, hier zu einem zufriedenstellenden ergebnis zu kommen, das wirklich funktioniert.

vorraussetzungen dürften klar sein, ... (mod_tls etc.)

schritt 1:
erzeugen der schlüsselpaare incl. selfsigned trusted authority CA

Code:

1. openssl genrsa -des3 -out MyCA.key 2048
2. openssl req -new -x509 -days 365 -key MyCA.key -out MyCA.cert
3. openssl genrsa -out MyFTP.key 1024
4. openssl req -new -key MyFTP.key -out MyFTP.csr
5. openssl x509 -req -in MyFTP.csr -out MyFTP.cert -CA MyCA.cert -CAkey MyCA.key -CAcreateserial -days 365

Kurz-Erklärung
die schlüssel werden im aktuellen verzeichnis erstellt, also nachher in der proftpd.conf berücksichtigen ...

im/nach schritt 2. werdet ihr dazu aufgefordert die zertifikatsdaten einzutragen, also Ländercode DE, State Germany usw.
dies ist dann Eure self signed Trusted Authority, empfehle also dann z.B. bei Unit z.b. "mein Trust-Center" einzutragen ... dann seht ihr später auch das dieses Zertifikat >>issued by "mein Trust-Center"<< ist ...

im Schritt 5. erstellt ihr euch dann zu guterletzt mit hilfe des CA key
euer "eigentliches" Serverzertifikat, sprich mein "ftp.server.com"

bei unit tragt ihr dann z.b. "mein FTP-Server" ein ... dann seht ihr später auch das dieses Zertifikat >>issued to "mein FTP Server ist"<< ist ...

welches ja gegen die CA gegengeprüft wird ... schade das es selfsigned ist ... aber alles andere kostet ja auch richtig kohle ^^ aber für den heimgebrauch OK !

in der proftpd.conf folgendes eintragen:

Code:

TLSEngine on
TLSLog /var/log/tls.log
TLSProtocol TLSv1

# Are clients required to use FTP over TLS when talking to this server?
TLSRequired on
# (setzt voraus das die User einen SSL fähigen client haben, besser off)

# Server's certificate
TLSRSACertificateFile /wo/das/Zertifikat/halt/liegt    MyFTP.cert
TLSRSACertificateKeyFile /wo/das/Zertifikat/halt/liegt    MyFTP.key

# CA the server trusts
TLSCACertificateFile /wo/das/Zertifikat/halt/liegt    MyCA.cert

# Authenticate clients that want to use FTP over TLS?
TLSVerifyClient off
(besser ist sonst kommt da kaum nen client rauf)

ich verstehe bzw. steige da zwar immer noch nicht ganz voll durch ... aber nen bissle hab isch des nun endlich kapiert ...

na dann, aufi aufi    ... bei mir klappts super ...

und viel spass beim probieren ...

hmmm ^^ ... das wüsstest du gerne gell? ...

das hängt von deinem MTA ab ...

benutz du sendmail, dann nein,
...aber benutzt du qmail oder imap sollte dies nicht so einfach gehen ...

das mail-protokoll ist ein zu altes protokoll, guggst du in entsprechende RFC's ... und alle benutzer (incl. systemuser quasi von wwwrun - ftp) deiner linux büchse potentielle mail empfänger sind, wirst du deinem sendmail niemals verbieten können diesen usern auch mails schicken zu  können ...

ich habe dir eine ganze einfache mail über die konsole geschickt, dein mailserver war sehr nett und gesprächig ...
ansonsten habe ich nichts unanständiges gemacht...

willst du bei sendmail solche sachen unterbinden, gibt es keine mir bekannte möglichkeit, da musst dich dann selber schlau machen ...

hast du schon mal was von: POP bevor SMTP gehört? ...
z.B. gmx oder andere mailprovider nutzen das ^^ ...
ich hätte also ersteinmal mail abholen muessen, um über deine büchse mails zu verschicken...  
du solltest also zumindest mal überprüfen, ob dein mailserver nicht als relay agent verwendet werden kann, das ist viel schlimmer ... das heisst irgendwelche unanständigen user wie ich benutzen deine PC@deinnetz.dyndns.de mail adresse (oder irgend ner anderen fake adresse) um weltweit und in aller seelen ruhe spammails zu verschicken ...

was ich gemacht habe ... iss echt pille palle ... und tut nicht weh ^^, nervt zwar, geht aber nicht anders mit sendmail ... vielleicht gibts filter programme ...aber hab ich mich net weiter für interessiert ...
ist mir zu harmlos ...

wie gesagt ...check lieber ob du kein weltoffner mail relayer bist ^^ ....

der rest geht einfach zu weit in diesem forum hier ^^

####
absender adressen kannst du ja ehh ohne ende faken ...hehe ... da sendmail und auch andere MTA's nen reverse lookup vornehmen und dann jede gültige domain akzeptieren ...

wäre die originale mailadresse von george bush also georg.bush@whitehouse.org gewesen, hätte ich auch die faken koennen ...
halt einfach nur, weil es DNS technisch whithouse.org gibt.
also dies ist keine schlimme sache und kein zaubertrick, nur das was smtp auf grund seines "alters" hergibt ...
man muss sich einfach nur mal mit solchen interessanten sachen auseinandersetzen ...

so long ....

uppps zu spät ...

sag mal du hast port 25 offen gehabt ...
hab dir ne mail geschrieben ...nich erschrecken ...

kugg mal in dein postfach von root ...da ist ne mail von roger rabbit @whithouse.org und das ergebnis ...

wenne sendmail hast (antivir haste ja auch ^^), dann in /var/spool/mail/root guggen ...so long

naja ... möglichkeiten hätte ich schon, aber ...
generell gilt doch:
ports oder port-ranges die du generell nicht dicht machst, sind generell offen, ... eine brauchbare antwort von einem scanner bekommst du doch auch nur, wenn hinter diesem port ein aktiver dienst lauscht.

das heisst also! ... da z.B. dein ftp im aktiven modus läuft, muss der port 20 auch irgendwie offen sein, was wir nun ja wissen, richtig? ...
er wird jedoch in deinem scan nicht angezeigt ... weil er erst gebraucht und geöffnet wird, wenn eine kommunikation besteht, ...

scannst du einen port direkt, bekommst du z.b wenn du auf eine firewall stösst :

 ....bei jenem port bekommst 'ne meldung änlich, ....
port iss closed or hosts seems down ...

stösst du auf einen offenen port ( z.b. 20), bekommst du eine antwort
port iss open, but no services iss listen ....

also so oder so änlich, das zum allgemeinen verständnis ...nun zum scanergebnis ... ich hoffe es ist dir recht wenn ich es hier reinschreibe, ergebnis liegt vor ...doch bevor ich dies mache frag ich dich lieber ....

soll ich? ...

fakt ist, all deine angegbenen passiv ports sind geschlossen, und du hast von mir hier dein ergebnis ...

mach sie einfach auf und alles wird gut ... und mit passiv ftp gefällts dem nachbarn auch wieder ^^
so long

ssssssssss grrrrrrrrr   ...wie gesagt .... dein connect auf den serverseitigen-passiv port 58958 schlug fehl, weil dieser port nicht offen ist auf der routerfirewall  :roll: ,

was ich nicht verstehe ist, das er sich nicht innerhalb deiner angegebenen range befindet wie man ja deutlich sieht ^^ , ... hat natürlich zur folge, das wenn du auf der firewall nur jene ports (sprich 60000 64950) offen hast, natürlich 58958 dicht ist ?

aber scheinbar bekommst ja dann doch noch irgendwie ne connect hin? ...
scan doch mal deine kompletten netzverkehr mit ...dann siehst doch die kommunikativen ports deiner prozesse ...

empfehle iptraf, ethereal, tcpdump ...etc. ....

das ist das was ich nun im zweifelsfall machen würde ...

nu muss ich erstmal sortieren, ...

ich denke du hast recht, was diese sache mit internetexplorer betrifft, der standardmaessig wohl passives ftp macht, wenn man dies nicht expliziet in den browsereinstellung aktiviert/deaktiviert, ...
das heist also, ein aktives ftp funzt bei dir auf jeden fall, richtig?
wenn du über die windowsconsole nen ftp machst, z.B.
c:/>ftp ftp.meinserver.dyndns.de machst, leierst du auch ein aktives ftp an, deshalb sollte das auch funzen...
unter linux konsolen ftp verhält es sich genauso, und mit einem extra befehl "passive"(maybe) leierst du expliziet passiv an, aktiv scheint also konsolentechnisch immer aktiv ftp zu machen.

dein problem ist also bestimmt der router, dessen firewall deine passive range dicht macht, ...
in der proftpd.conf müsstest du eine zeile einfügen, die so aussieht:
PassivePorts 35035 49049

diesen port range müsstest du auf deiner router-firewall aufmachen.
und dies innen und aussen ...

da dein ftp client (z.b. der IE hinter dem router steckt und pakete an diese port range formuliert und rausschickt und dann ja quasi gleich wieder an deinen dyndns ftp hinter dem router wieder einliefert) ...deshalb beide seiten! ...

dann sollte dein passive ftp funzen und wenn du dann expliziet aktiv verbieten willst, weiss ich auch nicht so genau ob das per option geht ...habsch jetzt nicht in den configoptionen geguggt, ... aber dann kannst du port 20 dicht machen in der routerfirewall und aktiv-ftp wird nie wieder funzen ....

aber denke dran, das du einige konsolen ftp damit unbrauchbar machst ^^ , ...

client und server einigen sich ja, welchen modus sie benutzen, welches ja über den port 21 klargemacht wird ... bzw. der ftp server sagt ja dann ob er aktiv und passiv kann oder halt nur passiv oder nur aktiv.

sieht z.b so aus....
-----
port >1024 hier ftp client --hallo ftp server auf port 21, ich möchte passive versuchen, kannste oder kannste nicht du penner!
-----
port 21 ftp-server an ftp-client auf port >1024 , warte mal du freches stöck ich gugg mal ... ahh ja kann ich unzwar von port 35035 49049
schickst du also fortan deine commandos oki ?
-----
ftp-client an server ...alles roger cheffe! ... sende (z.B) comando AUTH TLS an deinen passivsteuerungschannel-port 35677  ...
...den zip file schicke ich dir natürlich über port 21 rüber ... ne klugscheisser?
-----
FTP-SERVER --- SICHA DAT !! ... mach hinne du spinner!!
-----
reicht das dir als antwort?

netter smile ...

heist das etwa ...
Read The F**** Manual? ... hehe

na dann fällt mir dazu auch nicht mehr ein ...
guggst du signatur ^^

GG .... sachmal der dataport ist doch der 21 oder? ...

passiv modus betrifft meines erachtens nur den steuerungskanal, also im aktiven modus port 20, bzw. im passiven modus halt die range die du im proftp angibst ...

also was meinst du?
oder war des doch umgekehrt ^^ ...

musst dir mal reinziehn was aktiv und passiv modus überhaupt ausmacht, dann findeste die antworten die du suchst ...

im zweifelsfall sperre per firewall den entsprechenden port ...

hi ...
welche linux distre benutzt du? ....
(meine erklärung funzt  zu Linux mandrake ...)

ansonsten befinden sich die startlinks für den autostart z.b.

unter /etc/rc.d/rc3.d/  
(wenn dein linux z.b. im runlevel 3 läuft )
/etc/rc.d/rc5.d/ --- runlevel 5 usw.
den eintrag dazu findest du in der /etc/inittab um zu sehen welchen runlevel du startest

in diesem verzeichnis befinden sich  viele sysmbolische links für all deine systemdienste wie z.B.
S99webmin, S10network usw.
diese symbolischen links verweisen meist in einer relativen pfadangabe auf dein startscript
sieht z.b. so aus wenn du dich in /etc/rc.d/rc5.d/ befindest :
S99webmin --> ../init.d/webmin

(S = steht für start der dienste, denn du wirst vielleicht auch K1routed sehen oder änliches was für das beenden steht =kill)

pflege also in deinem fall den link folgender massen ein wenn du im runlevel 5 startest ...
zuvor musst du dir das eigentliche startscript erzeugen, was linux-spezifisch distributionsabhängig anders aussehen kann, meins hier z.b. Mandrake like, unter redhat vielleicht genauso ... aber du findest im internet bereits fertige zum download ...musst mal suchen)
ich glaube dieses script wird beim compilieren nicht erzeugt, deshalb fehlt es dir? ....

Code:

#!/bin/sh
#
# Startup script for ProFTPd
#
# chkconfig: 345 85 15
# description: ProFTPD is an enhanced FTP server with \
#               a focus toward simplicity, security, and ease of configuration. \
#              It features a very Apache-like configuration syntax, \
#               and a highly customizable server infrastructure, \
#               including support for multiple 'virtual' FTP servers, \
#               anonymous FTP, and permission-based directory visibility.
# processname: proftpd
# config: /etc/proftpd.conf
#
# By: Osman Elliyasa <osman@Cable.EU.org>
# $Id: proftpd.init.d,v 1.2 2001/01/26 23:10:55 flood Exp $
# modified by vdanen@mandrakesoft.com

# Source function library.
. /etc/rc.d/init.d/functions

# Get config.
. /etc/sysconfig/network

# Check that networking is up.
if [ ${NETWORKING} = "no" ]
then
        exit 0
fi

[ -x /usr/sbin/proftpd ] || exit 0

FTPSHUT=/usr/sbin/ftpshut
RETVAL=0

# See how we were called.
case "$1" in
  start)
        gprintf "Starting proftpd: "
        daemon proftpd
        RETVAL=$?
        echo
        [ $RETVAL -eq 0 ] && touch /var/lock/subsys/proftpd
        ;;
  stop)
        gprintf "Shutting down proftpd: "
        killproc proftpd
        RETVAL=$?
        echo
        [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/proftpd
        ;;
  status)
        status proftpd
        RETVAL=$?
        ;;
  restart)
        $0 stop
        $0 start
        RETVAL=$?
        ;;
  reload)
        gprintf "Re-reading proftpd config: "
        killproc proftpd -HUP
        RETVAL=$?
        echo
        ;;
  suspend)
        if [ -f $FTPSHUT ]; then
                if [ $# -gt 1 ]; then
                        shift
                        gprintf "Suspending proftpd with '$*' "
                        $FTPSHUT $*
                else
                        gprintf "Suspending proftpd NOW "
                        $FTPSHUT now "Maintanance in progress"
                fi
        else
                gprintf "No way to suspend, shutting down instead "
        fi
        killproc proftpd
        RETVAL=$?
        echo
        [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/proftpd
        ;;
  resume)
        if [ -f /etc/shutmsg ]; then
                gprintf "Allowing proftpd sessions again "
                rm -f /etc/shutmsg
        else
                gprintf "Starting proftpd; was not suspended "
        fi
        daemon proftpd
        echo
        [ $RETVAL -eq 0 ] && touch /var/lock/subsys/proftpd
        ;;
  *)
        gprintf "Usage: %s {start|stop|status|restart|reload|resume" "$0"
        if [ "$FTPSHUT" = "" ]; then
                gprintf "}\n"
        else
                gprintf "|suspend}\n"
                gprintf "suspend accepts additional arguments which are passed to ftpshut(8)\n"
        fi
        exit 1
esac

if [ $# -gt 1 ]; then
        shift
        $0 $*
fi

exit $RETVAL

gibts halt auch in einfacher ausführung, hier musste vielleicht pfade anpassen .... und zeilen ausdokumentieren ...
dieses startscript musst du dahinpacken, wo auch deine anderen dienststarterscripte liegen, meist unter ../init.d/ also /init.d/proftpd
hast du das fertig dann konsole und folgendes eingeben ...
z.B.

cd /etc/rc.d/rc5.d (dein runlevel)
ln -s ../init.d/proftpd S84proftp (relativer pfad zu /etc/rc.d/init.d/proftpd)
das wars ... und dein proftp startet automatisch ...

wie gesagt ... distributionsabhängig ... also das hier nur zum allg. verständnis ... und vielleicht hast ja glück und es passt ^^

so long ...

haste du es mittlerweile hinbekommen ? ...
ich kann deins leider nimmer testen, weil der server in echtbetrieb ist, da will ich nimmer rumspielen ...
ich installier mal woanders nen neuen, dann gugg ich mir des nochmal genau an ... wenn du möchtest ...
schreib mir bitte dann nochmal genau auf was er machen soll und was nicht ...

lucyyy