Suse 10 Plesk 8.1 kein FTP? Neuinstallation der Firewall!!! [gelöst]

[masteroffreaks]

Hallo,

ich habe seit einiger Zeit einen vServer bei 1blu.de. Eigentlich ist auch alles super ich habe heute abend nur festgestellt, das mein FTP gar nicht geht, habe bisher immer SCP genommen.

Als Fehlermeldung bekomme ich immer: Error: Connection to server has been unexpectedly closed

Zum Einen würde mich interessieren, wie das Modul bzw. der Dienst für FTP heißt? Weil unter den installierten befindet es sich meiner Ansicht nach nicht:

Code: Select all

 	+WEB-Server (Apache)  	 	 	
	+SMTP-Server (QMail) 			
	+IMAP/POP3-Server (Courier-IMAP) 			
	+DNS-Server (BIND) 			
	-Tomcat 			
	-ColdFusion (Nicht konfiguriert) 			
	-PostgreSQL 			
	+SpamAssassin 			
	+Dr.Web Antivirus

+ Laufen | - Laufen nicht


Laut netstat -l gibt es aber einen Dienst der am FTP Port hört

Code: Select all

tcp        0      0 *:ftp                   *:*                     LISTEN

Ich würde euch ja gerne noch mehr LOG Infos geben aber unter /var/log weiß ich im Moment nicht in welchem ich nachschauen sollte.

Den FTP User habe ich ganz normal über das Setup der jeweiligen Domain eingerichtet. Was mir jedoch auch komisch vorkommt, in der /etc/groups gibt es zwar die Gruppe FTP aber es ist kein User drin. Auch das manuelle hinzufügen brachte keinen Erfolg, bzw. kann es nicht Sinn uns Zweck sein das ich die von Hand hinzufügen muss.

Die Firewall habe ich auch gecheckt. Es gibt eine Firewallregel die alles ankommende auf Port 21 erlaubt.

Code: Select all

#!/bin/sh
#
# Automatically generated by Plesk netconf
#

set -e

echo 0 > /proc/sys/net/ipv4/ip_forward
([ -f /var/lock/subsys/ipchains ] && /etc/init.d/ipchains stop) >/dev/null 2>&1 || true
(rmmod ipchains) >/dev/null 2>&1 || true
/usr/sbin/iptables -F
/usr/sbin/iptables -X
/usr/sbin/iptables -Z
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/usr/sbin/iptables -P OUTPUT DROP
/usr/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP
/usr/sbin/iptables -P FORWARD DROP
/usr/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/usr/sbin/iptables -A FORWARD -i lo -o lo -j ACCEPT
/usr/sbin/iptables -t mangle -F
/usr/sbin/iptables -t mangle -X
/usr/sbin/iptables -t mangle -Z
/usr/sbin/iptables -t mangle -P PREROUTING ACCEPT
/usr/sbin/iptables -t mangle -P OUTPUT ACCEPT
/usr/sbin/iptables -t mangle -P INPUT ACCEPT
/usr/sbin/iptables -t mangle -P FORWARD ACCEPT
/usr/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t nat -X
/usr/sbin/iptables -t nat -Z
/usr/sbin/iptables -t nat -P PREROUTING ACCEPT
/usr/sbin/iptables -t nat -P OUTPUT ACCEPT
/usr/sbin/iptables -t nat -P POSTROUTING ACCEPT

/usr/sbin/iptables -A INPUT -p udp -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 8880 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 465 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 993 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 106 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 5432 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 9008 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 9080 -j ACCEPT

/usr/sbin/iptables -A INPUT -p udp --dport 137 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 138 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 445 -j ACCEPT

/usr/sbin/iptables -A INPUT -p udp --dport 1194 -j ACCEPT

/usr/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT

/usr/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j ACCEPT

/usr/sbin/iptables -A INPUT -j ACCEPT

/usr/sbin/iptables -A OUTPUT -j ACCEPT

/usr/sbin/iptables -A FORWARD -j DROP

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /usr/local/psa/var/modules/firewall/ip_forward.active
chmod 644 /usr/local/psa/var/modules/firewall/ip_forward.active
#
# End of script
#

Ich bin mittlerweile echt ratlos. :?:

[Roger Wilco]

Der einzige FTPd, der von Plesk unterstützt wird, ist der ProFTPd. Vermutlich wird er über xinetd eingebunden, das kannst du mit `lsof -i :21 || netstat -tpeln|grep ":21"` überprüfen.

Und schalte den Paketfilter ab oder konfiguriere ihn richtig. Für FTP wird nicht nur Port 21 benötigt...

[masteroffreaks]

vielen Dank für die schnelle Antwort. Also die Abfrage ergab folgendes

Code: Select all

xinetd  5214 root    5u  IPv4 1259937389       TCP *:ftp (LISTEN)

Was genau meinst du mit ich solle den Paketfiler abschalten. Soll ich noch eine weitere Regel für Port 20 eintragen.

Ich hätte auch auf ProFTPd getippt aber dann müßte ich ihn doch auch eigentlich über /etc/init.d/proftpd oder so neustarten könnten. Aber dort befindet sich kein Eintrag.

Laut Yast sind sie aber installiert:

Code: Select all

 │ -i- │psa-proftpd       │            │1.3.0      │ProFTPD -- Professional FTP Server.   │     3.3 MB│                                                     │
 │ -i- │psa-proftpd-xinetd│            │1.3.0      │ProFTPD -- Setup for xinetd operation.│     2.0 kB│

Aber selbst wenn sie installiert sein sollten und sich nicht im init.d Ordner befinden warum ist dann kein User in der Gruppe bzw. warum kommt kein connect zustande? Bzw. wie heißt das LOG-File von ProFTPd?

[daemotron]

Der proftpd wird über xinetd verwaltet, daher gibt's kein eigenes Init-Skript. FTP-Vorgänge werden normalerweise in transfer.log protokolliert; bei Plesk wird aber für jeden Account IMHO ein eigenes FTP-Log geschrieben (/srv/www/vhosts/domain.tld/log o. ä.).

warum kommt kein connect zustande?

Rate mal, warum Firewall-Admins FTP so innig "lieben"... Du musst dem ftpd erlauben, auf einem Highport eine Verbindung zum Client aufzubauen... oder passive FTP verwenden. Schalt den "Portblocker" erst mal ab, dann wirst Du ja feststellen, ob es dann geht oder nicht. Wenn's dann immer noch nicht geht, war er zumindest nicht die alleinige Ursache...

[masteroffreaks]

Okay ich habe das Modul jetzt ganz gekickt, weil ich den Ausschalter nicht gefunden habe.

Habe /etc/init.d/xinetd restart ausgeführt und es nochmal probiert mit telent ip-adresse 21 aber nichts. Bzw. mein FTP Programm spuckt auch noch die gleiche Fehlermeldung aus.

Nach den Logfiles habe ich geschaut aber habe nichts gefunden:

Code: Select all

anon_ftp/
cgi-bin/
conf/
error_docs/
httpdocs/
httpsdocs/
pd/
private/
statistics/
subdomains/
web_users/

Hat noch jemand eine andere Idee? Oder Analyse Methode. Ich müßte doch auch direkt an der Konsole ein FTP Login machen können? Kann mir jemand sagen wie das geht?

Beim lesen im Forum ist mir eingefallen, das ich vor einiger Zeit ncftp installiert habe. Nicht über Plesk sondern über Yast. Kann sein das sich die beiden Dienste jetzt im Weg stehen?

[masteroffreaks]

Okay. Ich bin vielleicht schon mal einen Schritt weiter.
Zum Einen habe ich die /etc/grous bearbeitet und jetzt mal einen User bei ftp und psaftp eingetragen.

Mit telnet ipadresse 21 komme ich immer noch nicht auf den Server bzw. die Fehlermeldung ist noch die gleiche bzw. die selbe :-D

Wenn ich telnet 127.0.0.1 21 mache kann ich mich einloggen. Allerdings bekomme ich bei der eingabe von

Code: Select all

DIR -> 500 DIR not understood
bzw. bei 
LIST -> 425 Unable to build data connection: Invalid argument

Da ich von draußen immer noch nicht draufkomme bedeutet, dass ich immer noch hinter einer firewall sitze. Mal schauen ob die sus(i)e firewall mir im weg steht.

Kann mir einer die Fehlermeldungen erklären? Angeblich soll die eine Fehlermeldung ein Bug in ProFTPd sein und erst aber der Version 1.3.0rc1 behoben sein, blöd das ich nur 1.3 habe.

Bzw. kann es immer noch nicht Sinn und Zweck sein, das ich user selber den Gruppen hinzufügen muß.

Update: Die Suse Firewall kann es nicht sein, weil die sagt selber

Code: Select all

Another Firewall Active
Another kind of firewall is active in your system. If you continue, SuSEfirewall2 may produce undefined errors. It would be better to remove the other firewall before configuring SuSEfirewall2. Continue with configuration? -> Cancel 

[Roger Wilco]

Da ich von draußen immer noch nicht draufkomme bedeutet, dass ich immer noch hinter einer firewall sitze. Mal schauen ob die sus(i)e firewall mir im weg steht.

Code: Select all

iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

Kann mir einer die Fehlermeldungen erklären?

Das erste Kommando "DIR" gibt es nicht und beim zweiten Kommando "LIST" kann er wegen deines Paketfilters keine Datenverbindung auf Port 20 öffnen.

Bzw. kann es immer noch nicht Sinn und Zweck sein, das ich user selber den Gruppen hinzufügen muß.

Das sollte bei den Domaineinstellungen in Plesk mit einem Haken gehen.

[masteroffreaks]

Mmh iptables -F hat der Server nicht überlebt. Melde mich wenn er wieder da ist.

[Roger Wilco]

Mmh iptables -F hat der Server nicht überlebt. Melde mich wenn er wieder da ist.

Ok, ich hätte die Reihenfolge vielleicht anders aufschreiben sollen. :roll:

Der Server ist noch da, nur ist wahrscheinlich die Policy von IN- und OUTPUT Chain auf DROP oder REJECT gesetzt.

[masteroffreaks]

ja du hast recht aber ich habe gedacht, da ich das ding nicht mehr anpingen kann ist es weg ohne es wirklich zu überprüfen. Aber na gut auf jeden fall habe ich so mal den support von 1blu getestet und man muß sagen samstagabend um halb 11 obwohl wetten dass im fernsehen läuft und bill von tokio hotel zu gast ist hat er nach 5 Minuten angerufen. Vorbildlich.

Aber wie bekomme ich die Kiste jetzt wieder dicht? sprich wenn ich das modul wieder installiere bin ich doch wieder fast an dem gleichen stand wie vorher oder was sollte ich tun?

habe schon mal getestet und den user wieder aus der ftp gruppe rausgenommen und es geht noch. warum auch immer.

Update: Habe das Modul wieder neu installiert über das Menü und jetzt auf einmal geht FTP egal ob sie in der Groups stehen oder nicht. Bzw. die Logfiles welche in /etc/proftpd.conf stehen sind immer noch leer. Aber es geht.