ftp-server der dbox - was kann er

[blacksun software]

Hallo,

ich hätte da mal eine Frage.
Um Files auf die box zu schieben, nehm ich ja das ftp-protokoll.

Wie kann ich den ftp-server der Box dazu bringen, dass er sowohl das directory-listing als auch den daten-transfer selber immer über den port 21 durchführt.

Grund für meine Frage ist die Zeile "[R] 200 PORT command successful. Consider using PASV."

Er soll nicht PASV machen, sondern nur einen einzigen Port benutzen.

Viele Grüße
Martin

Protokoll beim Login:

WinSock 2.0 -- OpenSSL 0.9.7d 17 Mar 2004
[R] Connecting to 192.168.0.30 -> IP=192.168.0.30 PORT=21
[R] Connected to 192.168.0.30
[R] 220 Willkomen auf Ihrer d-box 2.
[R] USER root
[R] 331 Please specify the password.
[R] PASS (hidden)
[R] 230 Login successful.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211-Features:
[R] MDTM
[R] REST STREAM
[R] SIZE
[R] 211 End
[R] PWD
[R] 257 "/var"
[R] TYPE A
[R] 200 Switching to ASCII mode.
[R] PORT 192,168,0,24,4,0
[R] 200 PORT command successful. Consider using PASV.
[R] LIST -al
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.

[petgun]

Er soll nicht PASV machen, sondern nur einen einzigen Port benutzen.

...in meinem FTP-Client (FlashFXP) gibt's bei den Preferences einen Punkt 'using Passive Mode' oder so aehnlich mit dem ich das abstellen/erzwingen kann.

cu,
peter

[deraaf]

Er soll nicht PASV machen, sondern nur einen einzigen Port benutzen.

...in meinem FTP-Client (FlashFXP) gibt's bei den Preferences einen Punkt 'using Passive Mode' oder so aehnlich mit dem ich das abstellen/erzwingen kann.

cu,
peter

Äääh, das kannst Du sogar im IE einstellen. ich glaube es geht aber darum, dass der Server kein PASV ermöglichen soll.

CU
D.R.

[Npq]

FTP verwendet immer zwei Ports, einer für Kommandos und einer für Daten. Ich denke mal, du willst gerade PASV verwenden, wenn dein Rechner keinen eingehenden Port zur Verfügung stellen kann.

Dabei werden nämlich beide Verbindungen zum Server vom Client aus gestartet womit Firewalls/Router keine Probleme verursachen können.

Das ist eine Einstellung der Clientsoftware.

[deraaf]

Ok, der Client 'versucht' eine Connection per PASV, das kann man aber verbieten, Bsp.:

vsftpd HOWTO:

3.1.20. pasv_enable
Ist diese Option aktiviert, ist die PASV Methode zum Aufbauen einer Datenverbindung gestattet.

Standardwert: YES

3.1.21. pasv_promiscuous
Ist diese Option aktiviert, ist die PASV Sicherheitsüberprüfung ausgeschaltet. Diese stellt sicher das die Datenverbindung von der gleichen IP-Adresse kommt wie die Kontrollverbindung.

Wichtig
Diese Option sollte nur aktiviert werden wenn die Nutzung im Zusammenhang mit getunnelten Verbindungen steht.


Standardwert: NO

3.1.22. port_enable
Ist diese Option aktiviert, wird die PORT Methode zum Aufbauen einer Datenverbindung verwendet.

Standardwert: YES

Aber vielleicht sollten wir doch erstmal klären, was blacksun erreichen will.

CU
D.R.

[blacksun software]

ok,

um auf die Frage "warum möchte ich das" zu antworten:
Die dbox hängt an einem DSL-Router. Der Port 21 wird auf die ip der dbox gemappt.

Nun soll man sich von "außen" per ftp auf die dbox schalten können. Im Prinzip spräche nichts gegen Passiv, nur muss sich dann der Port-Bereich, der für Passiv verwendet wird, am Server (also auf der Box) einschränken lassen, der dafür verwendet wird. Dies ist vermute ich mal nicht möglich, so dass der Standard (also alle Ports von 1024-65565) verwendet wird. Ich müsste die box also in die DMZ stellen. Das möchte ich aber wiederum nicht.

Folglich bleibt nur ein aktiver Transfer.

Beim ftp-client (flashfxp und smartftp) habe ich alle option, die psav-transfer sagen, ausgeschaltet (wie petgun es erwähnt hat)

Dennoch meint die dbox beim login, ich möchte psav verwenden (consider using...)

Wie kann ich das nun abstellen?
Ich möchte der Box nur 2-3 Ports für ftp auf dem router zuweisen.

Viele Grüße
Blacksun

[Npq]

Grund für meine Frage ist die Zeile "[R] 200 PORT command successful. Consider using PASV."
Er soll nicht PASV machen, sondern nur einen einzigen Port benutzen.

"PORT" ist aktives FTP.
Du sagst hier der dbox2, daß sie versuchen soll, dich unter 192.168.0.24:1024 zu erreichen. Das scheint nicht zu funktionieren.

"Consider using PASV" = "Denk' drüber nach, vielleicht PASV zu verwenden".
Warum dieser Hinweis kommt weiß ich nicht, ich vermute mal, weil du eine Adresse aus dem Heimbereich angibst und der ftp-Server denkt, du wärst hinter einem Router.

Irgendwas blockiert scheinbar den eingehenden Port auf deinem Clientrechner. Firewall/Virenscanner?

[blacksun software]

"Consider using PASV" = "Denk' drüber nach, vielleicht PASV zu verwenden".
Warum dieser Hinweis kommt weiß ich nicht, ich vermute mal, weil du eine Adresse aus dem Heimbereich angibst und der ftp-Server denkt, du wärst hinter einem Router.

Ich bin ja auch hinter einem router. Sowohl ich als auch mein Kollege, bei dem die box steht befindet sich hinter einem router.

Schaubild:

dbox ---- router <--INTERNET--> router ----- PC mit FlashFXP (das bin ich)

logischerweise befindet sich auf beiden seiten ein privates 192.168.x.x-Netzwerk.

wie bring ich denn flashfxp und den ftp-server auf der dbox dazu, dass er nicht die 192.168.x.x Adressen benutzt

[deraaf]

Entweder den Server (und/oder den Client) dazu bringen, Ihre öffentliche IP-Adresse zu senden (im PASV-Mode+Porteinschränkung). Oder den Server komplett 'offen' in diesen komischen Pseudo-DMZ laufen zu lassen, d.h. alle Anfragen ohne Ziel ungeprüft an ihn. Der Client muss aber auch seine öffentliche IP senden... also 2-mal hinter (preiswert-) NAT ist aufwendig.

Hier ein Auschnitt aus einem Text, unten der Link:

Client Konfiguration / Firewall -

Wenn man hinter einem NAT-Router sitzt, kann man dieses Problem nicht nur beim Aufsetzen eines FTP-Servers bekommen, sondern auch bei der Benutzung eines FTP-Clients. Hierbei befinden wir uns zwar auf der 'anderen Seite', aber rein technisch gesehen in genau der gleichen Problemsituation. Arbeitet man im Active Mode, sendet der Client per PORT Kommando seine IP+Port - und macht genau den gleichen Fehler wie der Server, er nimmt nämlich die private IP Adresse, unter der man keine Daten aus dem Internet empfangen kann. Auch hier sollte die Verbindung theoretisch abbrechen, allerdings habe ich in der Praxis festgestellt, dass bei vielen (gerade großen FTPs von Firmen etc.) trotz der 'fehlerhaft' übermittelten IP die Verbindung einwandfrei funktioniert. Erklären kann ich mir das lediglich so, dass der FTP-Server auf der anderen seite das PORT Kommando (zumindest die IP) ignoriert, und die Daten ganz einfach an die IP weiterleitet, von der aus die Verbindung hergestellt wurde. Auch beim FTP-Client muss man u.U. listenports einrichten (ein Client, bei dem dies geht ist z.B. Flash-FXP) und diese im DSL-Router unter Virtual Server eintragen, sofern man nicht DMZ Host ist.

Man sieht, es muss also nicht immer ausschliesslich am Server liegen, wenn etwas nicht funktioniert, sondern es kann durchaus auch der Client falsch konfiguriert sein. Ausserdem gibt es spezialisten, die eine Firewall installieren die durch das Blocken von Ports die FTP-Verbindung von vornherein zum scheitern verurteilt. Eine Firewall muss richtig konfiguriert sein, sonst schadet sie u.U. mehr als sie nützt.

Das ganze von dieser Seite:
http://www.dsl-webseiten.de/forum/showt ... hreadid=81

CU
D.R.