passive FTP einrichten

[inspiron]

Hallo,

ich habe eine vServer bei Server4U. Bei aktivierter Firewall ist der FTP Zugriff nicht möglich, da laut Aussage des Supports, kein passive FTP eingerichtet ist. Eine Einrichtung würde der Support kostenpflichtig übernehmen.

Habe mich mit dem Thema auseinnadergesetzt und folgendes herausgefunden:

Zum Transfer werden neben Port 20 und 21 diverse Ports oberhalb von 1024 benötigt. Diese werden z.Zt. von der Firewall geblockt. Eine Ã?nderung der iptables könnte hier Abhilfe schaffen. Dazu kann folgender Eintrag als root auf der Shell gemacht werden:

iptables -I INPUT -p tcp --tcp-flags ACK ACK -j ACCEPT
iptables -I INPUT -p tcp --tcp-flags SYN SYN -j ACCEPT

Ich habe dies an meinem lokalen Testserver ausprobiert und es funktioniert.

Da ich selbst kein Linuxprofi bin und mit Hilfe eines lokalen Linux Testrechners im Windoof Netzwerk meine Kenntnisse vertiefen möchte, stellt sich mir die Frage ob dies der Beste vor allem sicherste Weg im Livebetrieb ist. Diese Frage möchte gerne an die versierten unter Euch (durch die Recherchen im Forum weiß ich, dass es hier 'ne Menge davon gibt :-D) stellen.

Vielen Dank

inspiron

[inspiron]

Ich bins nochmal,

natürlich möchte ich nicht drängeln, wenn mir jedoch jemand sagen könnte ob diese Vorgehensweise richtig und sicher oder falsch und nicht empfehlenswert ist, wäre ich sehr dankbar.

Besten Dank.

inspiron

[lord_pinhead]

Wenn du Port 20 aufmachst nutzt du aktiven FTP (Port 20 TCP FTP-Data, Port 21 TCP FTP-Control). Wenn ich mich jetzt recht erinnnere ist der FTPD bei S4Ys V-Server der Proftpd, da musst du in die /etc/proftpd.conf folgenden Eintrag machen:

Code: Select all

passivePorts                    <portmin> <portmax>

Also z.b. "passivePorts 60000 60050". Wenn du eine IPTables Firewall aufbauen willst, dann solltest du mal nach Statefull iptables googeln, das ganze kann relativ ausarten. Warum du --tcp-flags SYN SYN nimmst is mir aktuell ein Rätsel, eine absolut minimalistische Anweisung is mal das hier:

Code: Select all

iptables -A INPUT -m state --state ESTABLISHED,RELATED -p tcp --syn -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --syn --destination-port 21 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --syn --destination-port 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --syn --destination-port 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --syn --destination-port 60000:60050 -j ACCEPT
iptables -A INPUT -p tcp --syn -j REJECT --reject-with tcp-reset

Müsstest nur die Ports die du brauchst noch hinzufügen.

[inspiron]

Hallo Lord_Pinhead,

ersteinmal danke für Deine Antwort.

Die Befehlszeilen habe ich aus einem Forum, indem ein Supportmitarbeiter von S4U diese bei meinem Problem als Lösung angab.

S4U hat im Kundenpanel eine Möglichkeit Regelsätze für die FW zu erstellen etc. Dabei ist Port 21 bereits für FTP offen. Lediglich passivFTP ist nicht eingerichtet. Gibt es keine andere Möglichkeit als die Ports >1024 in der besagten Range ständig offen zu halten?

Vielen Dank!

Gruß

inspiron

[lord_pinhead]

Iptables Regeln brauchst du Primär nicht auf deiner Kiste, da sie bei einen "guten" Angriff sowisso gelöscht werden, aber einfacher geht es eigentlich nicht. Offen sind sie ja eigentlich nicht wirklich da die Ports erst bei einer erfolgreichen Verbindungsaufnahme verwendet werden, vorher steht da nichts auf Listen und damit auch keine Gefahr, falls du das meinst. Wenn du keine Firewall brauchst oder verwenden möchtest reicht ein iptables -F, allerdings könnte eine Firewall doch noch die Kohlen aus dem Feuer ziehen wenn nur ein paar Script Kiddies kommen. So oder so, der Eintrag in der proftpd.conf muss gesetzt werden, Proftpd neustarten, probieren.

[inspiron]

Vielen Dank für Deine Hilfe,

da meine Kenntnisse noch zu frisch sind, habe ich den Support beauftragt dies zu Erledigen.

Ich teste es lieber in Ruhe im lokalen Netzwerk.

Thanks

inspiron

[blackbird]

Hi,

also, ich habe folgende Zeile meiner "/etc/proftpd.conf" (gleich unter port 21) hinzugefügt:

passivePorts 60000 60050

dann in der Firewall im S4Y Panel eine neue Regel hinzugefügt:
Local-Port (nur bei TCP/UDP Verbindungen):

tcp
60000:60050
Pakete mit gesetztem 'syn'-Flag (-- syn)

geht aber trotzdem nicht... :( (Verzeichnise werden nicht angezeigt)

[blackbird]

hat es jemand von euch schon geschaft, wenn ja, wie??
was mache ich falsch??

[lord_pinhead]

Support anrufen und fragen was das soll bzw. eine Mail schreiben.
Proftpd neugestartet?

[blackbird]

Hi!,

es hat sich erledigt.
Es lag an der Firewall-- die Regelsätze wurden nicht übernohmen und mussten neuerstellt werden.