32 replies to this topic

[theparasol]

+1: De enige juiste oplossing blacktiger!

Je passive mode werkt totaal niet en die is juist benodigd als je de mappen/files opvraagt, daarvoor (het hele autorizatie verhaal) gaat via de commando poort 21
Op lan zit er totaal geen portblock of natting tussen dus daar loopt het als vanzelf wel goed.

Ftp protocol maakt van veel meer poorten gebruik dan je denkt.

Lees hier maar ff verder: http://www.grc.com/port_21.htm

[Jeroensky]

Zet deze dingen eens in je vsftpd.conf erbij:
pasv_enable=YES
pasv_min_port=15000
pasv_max_port=15100
port_enable=YES

Lijkt me zinvol als OpenPli deze regels als default opneemt in vsftpd.conf.

[raphor79]

Met een beetje fatsoenlijke firewall en/of router heb je dat helemaal niet nodig.
Die maken gebruiken van connection tracking en openen dit automatisch wanneer het nodig.

Zojuist achter zowel een linksys als airport getest met alleen poort 21 geforward.
Werkt prima met de default configuratie van PLi.

In de log van ts is te zien dat bij switchen naar passive mode het ip wordt geswitcht naar het lokale lan adres ipv wan adres.
Dat zou normaal gesproken ook in stream aangepast moeten worden.
Dus ik vraag me af welk type router het is en hoe de netwerk setup eruit ziet (misschien meerdere nattings achter elkaar)?

Probeer het anders eens met de opties

pasv_addr_resolve=YES
pasv_address=ddns-naam

Dan zal in passive mode altijd de ddns naam gebruikt worden.

[Black Tiger]

Met een beetje fatsoenlijke firewall en/of router heb je dat helemaal niet nodig.
Die maken gebruiken van connection tracking en openen dit automatisch wanneer het nodig.

Bij static ftp vermoedelijk wel, maar bij passive lijkt me dat niet kunnen.
Het ftp verkeer wat via pasv mode gaat moet poorten toegewezen krijgen. Het dataverkeer gaat over poort 20 en die wordt wel automatisch open gezet door een router of firewall. Maar dat komt omdat het stated-initiated verkeerd is, oftewel de ftp server zet bij het verbinding maken met de server automatisch deze poort naar buiten toe open.
De firewall laat stated-related verkeer (wat dus weer terug binnen komt) hierdoor toe en zet hiervoor poort 20 inkomend dus voor die specifieke verbinding open. Tot zover de connection tracking.

Maar dat is een heel ander verhaal als passive ftp gebruiken. De router kan namelijk geen poorten daarvoor automatisch open zetten, omdat de router helemaal niet weet welke poorten je daarvoor gaat gebruiken. Zeker niet als de ftp server dat ook niet eens weet omdat het niet opgegeven is.

Dus ik vraag me af welk type router het is en hoe de netwerk setup eruit ziet (misschien meerdere nattings achter elkaar)?

Ben ik ook nieuwsgierig naar omdat hij het over routers heeft en niet over router.

Lijkt me zinvol als OpenPli deze regels als default opneemt in vsftpd.conf.

Lijkt mij niet, want dan zouden ze afwijken van de standaard. Vsftpd wordt standaard als je het installeert in Linux ook niet voorzien van die regels. Daarnaast moet iedere gebruiker dat zelf kunnen kiezen. Of je zou ze wel er in moeten zetten, maar dan moeten disablen door er een hekje voor te zetten, zodat het makkelijker aan te passen is indien nodig.
Maar hoeveel mensen willen graag van buitenaf hun ontvanger via ftp benaderen? De meesten niet, je loopt er gewoon een veiligheidsrisico mee.
Lekker gaan lopen bruteforcen enzo, gebeurt vaak genoeg.

Edited by Black Tiger, 22 February 2012 - 02:30.

[raphor79]

Dankzij de connection tracking module werkt passive ook zo prima hoor. Gebruik het al jaren en nog nooit problemen mee gehad (tenzij je met ssl gaat werken, dan moet je zelf inderdad de passive poorten definiëren en in je firewall open gooien)...

Zoals gezegd ook getest achter 2 verschillende routers en dat werkt prima, zelfs als ik connect_port_20 disable.

[nlrela]

Omdat ik nu niet thuis ben, kan ik niets uitproberen ... maar heb zelf een Linksys router met daarachter nog een Apple Airport Extreme.
Ik benader m'n netwerk via een ddns-adres.

Verder heb ik toegang tot een ander netwerk met een DM8000 (PLI image). Daar staat alleen een Linksys router en deze benader ik
via een vaste IP-adres.

Bij beiden heb ik tot nu toe hetzelfde probleem gehad, terwijl FTP toegang tot NAS apparaten in deze beiden netwerken wel zonder
problemen werkt.

Vanavond eens de aanwijzingen van Black Tiger en raphor79 uitproberen ...

[Black Tiger]

Dankzij de connection tracking module werkt passive ook zo prima hoor.

Dat wil ik best geloven, maar dan zul je toch passive poorten in je ftp server configuratie moeten hebben aangegeven zoals ik al zei, anders werkt het gewoonweg niet.

[raphor79]

Geloof het of niet, maar het werkt zo echt hoor

Ik draai al jaren mijn ftp servers op deze manier en dit werkt prima.
In mijn configuratie zijn geen passive poorten gedefinieerd en in de firewall staat alleen poort 21 open.
Is de module nf_conntrack_ftp niet geladen, werkt het inderdaad niet, maar zodra deze geladen is, werkt het prima.
Truc is dat deze module herkent dat dit verkeer bij de oorspronkelijke sessie hoort en dit de status RELATED geeft ipv NEW.
En is je firewall correct geconfigureerd mbt ESTABLISHED en RELATED states, werkt dit vlekkeloos.

De enige uitzondering hierop is als je SSL/TLS gaat gebruiken.
Dan kan de module dit niet meer controleren en wordt het inderdaad geblokkeerd.
In dat geval moet je passive poorten in zowel de ftp als firewall configuratie gebruiken.

[raphor79]

Ik heb hier net nog even met de linksys getest en kan jouw probleem reproduceren.
Dit lukt me echter alleen als de internal port voor ftp bij portforwarding niet de default poort 21 is.
Dan blijft hier ook de sessie hangen omdat hij het lan adres terug krijgt ipv het wan adres.

En dat komt waarschijnlijk ook weer doordat de ftp connection tracking module dit default alleen voor poort 21 doet.
Heb je een afwijkende poort, moet je bij het laden van de module de extra parameter "ports=21,xx" (waarbij xx jouw poort nummer is) meegeven.
Maar bij de default firmware is dit bij mijn weten helaas niet mogelijk.

Welke poorten gebruik je dus in je portforwarding?
En aangezien je 2 routers (waarschijnlijk beide met NAT) achter elkaar hebt staan, kan ik me goed voorstellen waardoor het probleem veroorzaakt wordt.

[Black Tiger]

In mijn configuratie zijn geen passive poorten gedefinieerd en in de firewall staat alleen poort 21 open.

Jehebt gelijk! Ik ben er nog eens wat langduriger en dieper op gaan zoeken. Ik had het inderdaad mis, het kan inderdaad op de door jou aangegeven wijze.
De min_port en max_port zijn om een bepaalde range op te geven, geef je dat niet op, dan gebruikt de ftp server een vrije poort ergens tussen 1024-65535 voor passive ftp. Dat laatste was mij niet bekend, ondank dat ik ook al jaren met ftp werk.
Gebruik jij toevallig uPnP op je router waarbij applicaties de firewall mogen aanpassen?

Verder volg ik het verhaal even en wacht op antwoorden van TS.

Edited by Black Tiger, 22 February 2012 - 19:17.

[Sjaaky]

Andere oplossing is ftp overboord gooien en alleen via scp (via ssh) bestanden kopieren. Dan heb je aan het forwarden van port 22 genoeg. Het is bovendien een stukje veiliger.

[raphor79]

UPnP is altijd 1 van die dingen die ik als eerste disable.
Ik wil zelf zo goed als mogelijk bepalen wat er wel en niet door mag.

[theparasol]

Leuk allemaal die service helpers in de moderne routers maar het is funest voor begrip van technische werking van in dit geval ftp.
Andere probleem services zijn bv sip en pptp.
In de regel werken die service helpers in de routers ook alleen als je over de standaard poorten communiceert. Zodra je daar van gaat / moet afwijken is het exit met de hulp en moet je het weer ouderwets handmatig goed inregelen.