Connection denied bei einzelnen Clients, vsFTPd

[holtsch]

Hi all,

ich habe gerade auf einem frischen RootServer mit der "Standardkonfiguration" das Problem, dass FTP von einigen Clients aus geht (Windows-Konsolen FTP Client von M-NET aus, anderer RootServer, standard Linux-FTP Client), von anderen scheinbar nicht (ich weiss leider nicht, welchen client die verwenden). Bei allen Clients werden die gleichen Authentifizierungsparameter (name/passwort) und der gleiche Servername verwendet.

Habt Ihr eine Idee, woran so etwas liegen könnte?

Es gibt keine Art von Paketfilter auf dem Rechner (zumindest weiß ich nichts davon ;-) ).

Der Server ist vsFTPd 1.1.0 und läuft über xinet.d mit folgender Config (wie gesagt: hab auf dem Server noch nichts geändert):

Code: Select all

service ftp
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        server          = /usr/sbin/vsftpd
#       server_args     = -a
        log_on_success  = HOST PID EXIT DURATION
        log_on_failure  = HOST ATTEMPT RECORD
}

vsftpd.conf

Code: Select all

#### CONFIXX VSFTPD KONFIGURATIONSDATEI ####
#### erstellt am  ###

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022

xferlog_enable=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES

ascii_upload_enable=YES
ascii_download_enable=YES
ls_recurse_enable=YES

connect_from_port_20=YES

chroot_local_user=YES

userlist_enable=YES
userlist_file=/etc/chrootUsers
userlist_deny=NO

pam_service_name=vsftpd


### ENDE ####

Den Servernamen habe ich auf meinem eigenen DNS Server (anderer Rootie) definiert (so im Stil von ftp1.meinedomain.de, wobei meinedomain.de in einem anderen Netz liegt als ftp.* - falls das eine Rolle spielt). Dürfte aber eigentlich keine Rolle spielen, da's ja mit den anderen beiden Accounts funktioniert (und die lösen die Namen nicht direkt über meinen DNS-Server auf).

Noch eine Auszug aus xinetd.log:

Code: Select all

03/1/16@13:09:54: START: ftp pid=755 from=80.130.182.68
03/1/16@13:09:54: EXIT: ftp status=1 pid=755 duration=0(sec)
03/1/16@14:16:39: START: ftp pid=4202 from=195.20.224.7
03/1/16@14:20:02: EXIT: ftp status=0 pid=4202 duration=203(sec)
03/1/16@14:20:50: START: ftp pid=4248 from=195.20.224.7
03/1/16@14:26:09: EXIT: ftp status=0 pid=4248 duration=319(sec)
03/1/16@16:41:28: START: ftp pid=30027 from=24.100.143.71
03/1/16@16:41:29: EXIT: ftp status=1 pid=30027 duration=1(sec)
03/1/16@18:09:17: START: pop3s pid=30395 from=195.20.224.7
03/1/16@18:09:37: EXIT: pop3s status=0 pid=30395 duration=20(sec)
03/1/16@18:10:14: START: pop3s pid=30415 from=195.20.224.7
03/1/16@18:10:34: EXIT: pop3s status=0 pid=30415 duration=20(sec)
03/1/16@18:11:18: START: pop3s pid=30447 from=195.20.224.7
03/1/16@18:11:22: EXIT: pop3s status=0 pid=30447 duration=4(sec)
03/1/16@18:13:20: START: pop3 pid=30455 from=195.20.224.7
03/1/16@18:13:24: EXIT: pop3 status=0 pid=30455 duration=4(sec)
03/1/16@18:13:43: START: pop3 pid=30457 from=195.20.224.7
03/1/16@18:13:47: EXIT: pop3 status=0 pid=30457 duration=4(sec)
03/9/16@18:55:06: START: ftp pid=4386 from=80.132.212.40
03/9/16@18:55:07: EXIT: ftp status=1 pid=4386 duration=1(sec)
03/9/16@22:59:23: START: ftp pid=7481 from=217.226.49.184
03/9/16@22:59:24: EXIT: ftp status=1 pid=7481 duration=1(sec)
03/9/16@23:40:22: START: ftp pid=8021 from=61.153.23.152
03/9/16@23:40:22: EXIT: ftp status=1 pid=8021 duration=0(sec)
03/9/16@23:43:17: START: ftp pid=8049 from=61.153.23.152
03/9/16@23:43:27: EXIT: ftp status=1 pid=8049 duration=10(sec)
03/9/16@23:45:26: START: ftp pid=8104 from=218.216.69.114
03/9/16@23:45:26: EXIT: ftp status=1 pid=8104 duration=0(sec)
03/9/17@08:18:42: START: ftp pid=14799 from=66.88.83.125
03/9/17@08:18:42: EXIT: ftp status=1 pid=14799 duration=0(sec)
03/9/17@13:28:03: START: ftp pid=18743 from=80.131.179.107

Was bedeutet denn "status=1" bzw. "status=0"? cat xinetd.log | grep FAIL liefert nix zurück...

[dodolin]

Irgendwie zu wenig Infos um besser helfen zu können. Meine Glaskugel meint, es könnte sich um Probleme mit Aktiv/Passiv FTP und gegebenenfalls in Verbindung mit NAT handeln... Ebenso könnte es was mit ECN zu tun haben.

[holtsch]

Irgendwie zu wenig Infos um besser helfen zu können. Meine Glaskugel meint, es könnte sich um Probleme mit Aktiv/Passiv FTP und gegebenenfalls in Verbindung mit NAT handeln... Ebenso könnte es was mit ECN zu tun haben.

Gibt es da bei vsFTPd Konfigurationsmöglichkeiten die falsch sein könnten (zu aktiv/passiv)? Oder ist das wenn ein reines Client-Problem? Wo finde ich mehr Infos zu ECN? Google gibt da wenig Auskunft :-(

Was für Infos wären denn konkret für eine genauere Fehleranalyse hilfreich?

[Joe User]

http://www.google.com/search?hl=en&ie=U ... gle+Search

[dodolin]

Gibt es da bei vsFTPd Konfigurationsmöglichkeiten die falsch sein könnten (zu aktiv/passiv)?

Um das auszuschließen, solltest du auf jeden Fall auch PASV zulassen. Die Option heißt pasv_enable, lässt sich aber auch leicht mit einer suche nach /pasv in der manpage zu vsftpd.conf finden.

Oder ist das wenn ein reines Client-Problem?

Wenn es das ist, was ich vermute, ja. Das meine Vermutungen müssen ja nicht stimmen. ;)

Wo finde ich mehr Infos zu ECN? Google gibt da wenig Auskunft

http://www.google.com/search?q=ecn findet immerhin auf der ersten Seite schonmal das hier: http://www.icir.org/floyd/ecn.html

Was für Infos wären denn konkret für eine genauere Fehleranalyse hilfreich?

Wie weit genau kommt der Client? Kann er sich mit dem TCP-Socket verbinden? Kann er User und Passwort eingeben? Was für Fehlermeldungen erhält er (oder eben nicht)? Und nicht mit so nem GUI-Client testen, sondern per Kommandozeile oder gleich per Telnet.

Beim xinetd scheint ja alles in Ordnung. Was sagt das Log von vsftpd? Kann man das Logging von vsftpd gegebenenfalls noch erhöhen? Wenn alles nichts hilft, könnte man auch mal mitsniffen, sowohl auf dem Server als auch auf dem Client. Weiterhin: Hat der Client eine öffentliche IP oder geht er über NAT ans Internet? Falls ja, wie wird das NAT realisiert (Blackbox, Linuxrouter, ...)?