Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 03. Juli 2003, 10:59:30 Hi Forum,
wie kann ich ausdrüklich bei Proftpd passives Modus einstellen. Mein FTP anwortet immer noch mit FTP-DATA Port :x Kann mir Jemand HELFEN ? :roll: Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 03. Juli 2003, 11:20:02 GG .... sachmal der dataport ist doch der 21 oder? ...
passiv modus betrifft meines erachtens nur den steuerungskanal, also im aktiven modus port 20, bzw. im passiven modus halt die range die du im proftp angibst ... also was meinst du? oder war des doch umgekehrt ^^ ... musst dir mal reinziehn was aktiv und passiv modus überhaupt ausmacht, dann findeste die antworten die du suchst ... im zweifelsfall sperre per firewall den entsprechenden port ... :D Titel: PASSIV /ACTIV Beitrag von: centi am 03. Juli 2003, 11:31:28 Ja das ist schon Klar.
Nun aber folgendes: Es dibt beim mir ein dsl rourter mit dyndns, dahinten steht eben proftpd. Innen in Net funkt Alles ! Test von Aussen: Verbinde über ISDN zb zum freent Test 1. über IE -> geht nicht 2. cmd .... -> geht 3. wu_ftp_l -> geht auch :? Uber tcpdump beobachte das eben proftpd will Antworten über Port 20 senden. Und jetz DIE FRAGE : wie stelle ich das ab ? Übrigen Kein Annonymous nur konkrete User. Grüsse Peter Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 03. Juli 2003, 11:43:01 und noch etwas interesantes:
wenn ich in IE Passiv FTP abschalte dann tut es -> es kommt zur Verbindung :?: Grüsse Peter Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 03. Juli 2003, 12:12:53 nu muss ich erstmal sortieren, ...
ich denke du hast recht, was diese sache mit internetexplorer betrifft, der standardmaessig wohl passives ftp macht, wenn man dies nicht expliziet in den browsereinstellung aktiviert/deaktiviert, ... das heist also, ein aktives ftp funzt bei dir auf jeden fall, richtig? wenn du über die windowsconsole nen ftp machst, z.B. c:/>ftp ftp.meinserver.dyndns.de machst, leierst du auch ein aktives ftp an, deshalb sollte das auch funzen... unter linux konsolen ftp verhält es sich genauso, und mit einem extra befehl "passive"(maybe) leierst du expliziet passiv an, aktiv scheint also konsolentechnisch immer aktiv ftp zu machen. dein problem ist also bestimmt der router, dessen firewall deine passive range dicht macht, ... in der proftpd.conf müsstest du eine zeile einfügen, die so aussieht: PassivePorts 35035 49049 diesen port range müsstest du auf deiner router-firewall aufmachen. und dies innen und aussen ... da dein ftp client (z.b. der IE hinter dem router steckt und pakete an diese port range formuliert und rausschickt und dann ja quasi gleich wieder an deinen dyndns ftp hinter dem router wieder einliefert) ...deshalb beide seiten! ... dann sollte dein passive ftp funzen und wenn du dann expliziet aktiv verbieten willst, weiss ich auch nicht so genau ob das per option geht ...habsch jetzt nicht in den configoptionen geguggt, ... aber dann kannst du port 20 dicht machen in der routerfirewall und aktiv-ftp wird nie wieder funzen :D .... aber denke dran, das du einige konsolen ftp damit unbrauchbar machst ^^ , ... client und server einigen sich ja, welchen modus sie benutzen, welches ja über den port 21 klargemacht wird ... bzw. der ftp server sagt ja dann ob er aktiv und passiv kann oder halt nur passiv oder nur aktiv. sieht z.b so aus.... ----- port >1024 hier ftp client --hallo ftp server auf port 21, ich möchte passive versuchen, kannste oder kannste nicht du penner! :D ----- port 21 ftp-server an ftp-client auf port >1024 , warte mal du freches stöck ich gugg mal ... ahh ja kann ich unzwar von port 35035 49049 schickst du also fortan deine commandos oki ? ----- ftp-client an server ...alles roger cheffe! ... sende (z.B) comando AUTH TLS an deinen passivsteuerungschannel-port 35677 ... ...den zip file schicke ich dir natürlich über port 21 rüber ... ne klugscheisser? ----- FTP-SERVER --- SICHA DAT !! ... mach hinne du spinner!! ----- reicht das dir als antwort? Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 03. Juli 2003, 12:29:32 Das alles ist Klar doch es funk nicht so richtig
config von proftpd ServerType standalone DefaultServer on # Port 21 is the standard FTP port. Port 21 # Umask 022 is a good standard umask to prevent new dirs and files # from being group and world writable. Umask 022 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd). # Set the user and group under which the server will run. User nobody Group nogroup # To cause every FTP user to be "jailed" (chrooted) into their home # directory, uncomment this line. RequireValidShell off # Passive Ports PassivePorts 60000 64950 DeleteAbortedStores on DefaultRoot ~ MaxClients 5 DisplayConnect /home/ftp/welcome.msg DisplayFirstChdir /home/ftp/.message DisplayLogin /home/ftp/welcome.msg TimeoutLogin 240 TimeoutIdle 1200 TimeoutNoTransfer 900 TimeoutStalled 3600 MaxClientsPerHost 3 "Mehrmaliges einloggen nicht erlaubt!" MaxClients 5 "Sorry, aber %m User kleben bereits am FTP :(" MaxInstances 20 # #*******Log Files****************************************** TransferLog /var/log/proftpd/proftpd.xferlog # Some logging formats LogFormat default "%h %l %u %t \"%r\" %s %b" LogFormat auth "%v [%P] %h %t \"%r\" %s" LogFormat write "%h %l %u %t \"%r\" %s %b" # Log file/dir access ExtendedLog /var/log/proftpd/proftpd.access_log WRITE,READ write # Record all logins ExtendedLog /var/log/proftpd/proftpd.auth_log AUTH auth # Paranoia logging level.... ExtendedLog /var/log/proftpd/proftpd.paranoid_log ALL default #*******Log Files Ende************************************* # <Global> DefaultRoot ~ DisplayFirstChdir /home/ftp/.message DisplayLogin /home/ftp/welcome.msg </Global> # Normally, we want files to be overwriteable. <Directory /> AllowOverwrite on </Directory> So sieht es aus. ich hatte noch Einträge mit Masquer... das ändert aber nichts. und weiter so sieht log von ws_ftp_l connecting to 80.145.79.90:21 Connected to 80.145.79.90 port 21 220-Willkommen auf dem FTP-Server: centihome.homelinux.net Auf dem Server ist 6865748 freies Platz Es sind 1 User Verbunden ******************************* Dein Rechner Bacad.pppool.de 220 ProFTPD 1.2.8 Server (centihome-FTP) [linux.homeintranet.net] USER pcftp 331 Password required for pcftp. PASS (hidden) 230 User pcftp logged in. PWD 257 "/" is current directory. SYST 215 UNIX Type: L8 Host type (S): UNIX (standard) PASV 227 Entering Passive Mode (192,168,100,2,230,78). connecting to 192.168.100.2:58958 - - connecting to 192.168.100.2:58958 ! Connection failed 192.168.100.2 - error 10051 ! connect: error 0 PORT 213,7,172,173,5,138 200 PORT command successful LIST 150 Opening ASCII mode data connection for file list Received 80 bytes in 0.1 secs, (800.00 Bps), transfer succeeded 226 Transfer complete. Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 03. Juli 2003, 12:50:42 ssssssssss grrrrrrrrr :D ...wie gesagt .... dein connect auf den serverseitigen-passiv port 58958 schlug fehl, weil dieser port nicht offen ist auf der routerfirewall :roll: ,
was ich nicht verstehe ist, das er sich nicht innerhalb deiner angegebenen range befindet wie man ja deutlich sieht ^^ , ... hat natürlich zur folge, das wenn du auf der firewall nur jene ports (sprich 60000 64950) offen hast, natürlich 58958 dicht ist ? :D aber scheinbar bekommst ja dann doch noch irgendwie ne connect hin? ... scan doch mal deine kompletten netzverkehr mit ...dann siehst doch die kommunikativen ports deiner prozesse ... empfehle iptraf, ethereal, tcpdump ...etc. .... das ist das was ich nun im zweifelsfall machen würde ... Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Anonymous am 03. Juli 2003, 13:24:50 So sieht aus von Innen:
Starting nmap V. 3.00 ( www.insecure.org/nmap ) Interesting ports on centihome.homelinux.net (192.168.100.2): (The 1135 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop-3 111/tcp open sunrpc 139/tcp open netbios-ssn 143/tcp open imap2 199/tcp open smux 443/tcp open https 445/tcp open microsoft-ds 995/tcp open pop3s 3306/tcp open mysql 10000/tcp open snet-sensor-mgmt Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 Uptime 0.182 days (since Thu Jul 03 08:49:44 2003) Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds Von Aussen ist nur port 21,25,80 offen. Die Ports oberhalp 1024 konnte ich noch nicht testen. Hast du so eine möglichkeit dann scanne centihome.homelinux.net Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 03. Juli 2003, 13:56:34 naja ... möglichkeiten hätte ich schon, aber ...
generell gilt doch: ports oder port-ranges die du generell nicht dicht machst, sind generell offen, ... eine brauchbare antwort von einem scanner bekommst du doch auch nur, wenn hinter diesem port ein aktiver dienst lauscht. das heisst also! ... da z.B. dein ftp im aktiven modus läuft, muss der port 20 auch irgendwie offen sein, was wir nun ja wissen, richtig? ... er wird jedoch in deinem scan nicht angezeigt ... weil er erst gebraucht und geöffnet wird, wenn eine kommunikation besteht, ... scannst du einen port direkt, bekommst du z.b wenn du auf eine firewall stösst : ....bei jenem port bekommst 'ne meldung änlich, .... port iss closed or hosts seems down ... stösst du auf einen offenen port ( z.b. 20), bekommst du eine antwort port iss open, but no services iss listen .... also so oder so änlich, das zum allgemeinen verständnis ...nun zum scanergebnis ... ich hoffe es ist dir recht wenn ich es hier reinschreibe, ergebnis liegt vor ...doch bevor ich dies mache frag ich dich lieber .... soll ich? ... fakt ist, all deine angegbenen passiv ports sind geschlossen, und du hast von mir hier dein ergebnis ... mach sie einfach auf und alles wird gut ... und mit passiv ftp gefällts dem nachbarn auch wieder ^^ so long Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 03. Juli 2003, 14:25:07 sende mir das Ergebnis per E-mai pc@centihome.homelinux.net
leider wie ich in log gesehen habe ist meine Email zum T-online nicht angekommen weil t-online nimt keine E-mail von dial-in Adressen. Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 03. Juli 2003, 14:25:42 sag mal du hast port 25 offen gehabt :D ...
hab dir ne mail geschrieben :D ...nich erschrecken :D ... kugg mal in dein postfach von root :D ...da ist ne mail von roger rabbit @whithouse.org und das ergebnis ... wenne sendmail hast (antivir haste ja auch ^^), dann in /var/spool/mail/root guggen ...so long Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 03. Juli 2003, 14:28:20 uppps zu spät :D ...
Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 03. Juli 2003, 14:31:15 Ok erschroken bin nicht, ich denke in grunde ist das ok.
Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 03. Juli 2003, 14:55:34 ist es möglich so etwas was Du gemacht hast mi der Emai zu unterbinden ?
Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 03. Juli 2003, 15:25:38 hmmm ^^ ... das wüsstest du gerne gell? ...
das hängt von deinem MTA ab :D ... benutz du sendmail, dann nein, ...aber benutzt du qmail oder imap sollte dies nicht so einfach gehen ... das mail-protokoll ist ein zu altes protokoll, guggst du in entsprechende RFC's ... und alle benutzer (incl. systemuser quasi von wwwrun - ftp) deiner linux büchse potentielle mail empfänger sind, wirst du deinem sendmail niemals verbieten können diesen usern auch mails schicken zu können ... ich habe dir eine ganze einfache mail über die konsole geschickt, dein mailserver war sehr nett und gesprächig :D ... ansonsten habe ich nichts unanständiges gemacht... willst du bei sendmail solche sachen unterbinden, gibt es keine mir bekannte möglichkeit, da musst dich dann selber schlau machen ... hast du schon mal was von: POP bevor SMTP gehört? ... z.B. gmx oder andere mailprovider nutzen das ^^ ... ich hätte also ersteinmal mail abholen muessen, um über deine büchse mails zu verschicken... du solltest also zumindest mal überprüfen, ob dein mailserver nicht als relay agent verwendet werden kann, das ist viel schlimmer :D ... das heisst irgendwelche unanständigen user wie ich benutzen deine PC@deinnetz.dyndns.de mail adresse (oder irgend ner anderen fake adresse) um weltweit und in aller seelen ruhe spammails zu verschicken :D ... was ich gemacht habe ... iss echt pille palle ... und tut nicht weh ^^, nervt zwar, geht aber nicht anders mit sendmail ... vielleicht gibts filter programme ...aber hab ich mich net weiter für interessiert :D ... ist mir zu harmlos ... wie gesagt ...check lieber ob du kein weltoffner mail relayer bist ^^ .... der rest geht einfach zu weit in diesem forum hier ^^ #### absender adressen kannst du ja ehh ohne ende faken ...hehe ... da sendmail und auch andere MTA's nen reverse lookup vornehmen und dann jede gültige domain akzeptieren ... wäre die originale mailadresse von george bush also georg.bush@whitehouse.org gewesen, hätte ich auch die faken koennen ... halt einfach nur, weil es DNS technisch whithouse.org gibt. also dies ist keine schlimme sache und kein zaubertrick, nur das was smtp auf grund seines "alters" hergibt ... man muss sich einfach nur mal mit solchen interessanten sachen auseinandersetzen ... so long .... Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 04. Juli 2003, 08:57:50 ich habe mir das überlegt das mit pop befor smtp und meine frage:
wenn ich das mache wie kann ich dann email von anderen menschen bekommen ? die haben kein account bei mir und können sich doch nicht anmelden.... oder ? Lockal bei mir funktioniert das schon so dass ich im outlook "server erfordet autentifizierung" einstellen muss sonst keine emails ... Grüsse Peter Titel: PASSIV / ACTIV ? PROFTP Beitrag von: Lucy am 04. Juli 2003, 10:15:29 hi peter ... ich schreib dir mal ne e-mail ...hast mir ja schon eine geschickt gell? ... also deine adresse hab ich so oder so ^^
iss halt einfach so, das des hier nen ftp forum ist ...weisst? ... also wenn wir das thema hier erweitern, iss glaub ich nicht so günstig ... werde dir also antworten... gib mir bissel zeit oki? ... so long ... Titel: PASSIV / ACTIV ? PROFTP Beitrag von: centi am 04. Juli 2003, 10:25:23 OK ich verstehe
Danke! |