(Newbie)Passives Ftp und Firewall verträgt sich nicht

[TheNewOne]

Hallo, mein Ftp Server (proftpd) funzt einwandfrei, aber sobald ich die Firewall von server4you einschalte, geht nichts mehr. bekomm dann nur noch einen Socket Error wenn ich mich mit nem Ftp Proggie einloggen will.
Was für eine regel muss ich denn in die Firewall einfügen, oder muss ich da was in die iptables schreiben ?

Danke

 

[cocoonclubber]

Habe das gleiche Problem..aber noch nciht dahinter gestiegen woran es liegt... :-(

 

[Elegantly]

Hallo, mein Ftp Server (proftpd) funzt einwandfrei, aber sobald ich die Firewall von server4you einschalte, geht nichts mehr. bekomm dann nur noch einen Socket Error wenn ich mich mit nem Ftp Proggie einloggen will.
Was für eine regel muss ich denn in die Firewall einfügen, oder muss ich da was in die iptables schreiben ?

Danke

Dein Problem besteht - vermutlich - auf Grund einer VSERVER-spezifischen Einschränkung.

Bestimmte iptables-Kernelmodule, darunter auch solche, die sich um die sog. "Stateful Inspection" für FTP kümmern, sind auf einem VSERVER nicht verfügbar. Dies verhindert, dass du passives FTP mittels iptables auf deinem VSERVER so erlauben kannst, wie du es mglw. von anderen Tutorials oder Howtos kennst.

Daher gibt es eigentlich nur zwei Optionen auf einem VSERVER:

1. Sichere Option: Eine generelle Alternative zu passivem FTP verwenden (SFTP/SCP, ...) und damit leben, dass passives FTP nicht funktioniert.
2. Unsichere Option: Bestimmte Port-Bereiche deines VSERVERS, die für passives FTP benötigt werden, generell mittels iptables freischalten. Nachteil: damit schaltest du genau diese - mitunter sehr großen Port-Bereiche - auch für alle anderen Programme, Benutzer, Hacker, usw. frei.

"Sicher" und "unsicher" habe ich in diesem Zusammenhang recht pragmatisch verwendet. Manche argumentieren, dass Option (2) trotzdem ausreichend sicher ist - zumal, wenn passives FTP unbedingt erforderlich ist (Kundenanforderung, bestehende Abläufe zum Uploaden von Content, usw.).

Ich selbst habe mich auf meinem VSERVER für Option (1) entschieden.

 

[mbroemme]

Hi,

du kannst auch:

3.) In deiner FTP Konfiguration bestimmte Passiv Ports einstellen (pro User sagt man so 4-5) und nur diese Range dann per iptables freischalten. Man waehlt hier natuerlich eine Range in einem relativ hohen Portbereich und wo keine speziellen Dienste drauf laufen wuerden. Sicher ist dies auch, da die Passivports ja nicht auf irgendwas lauschen.

 

[little_L]

Hallo das gleiche Problem habe ich auch gehabt. Mir wurde vom Support dann folgender Tipp gegeben:

1.) mit putty als root einloggen
2.) folgende Befehle eintippen in die Shell:

iptables -I INPUT -p tcp --tcp-flags ACK ACK -j ACCEPT
iptables -I INPUT -p tcp --tcp-flags SYN SYN -j ACCEPT

danach funktioniert passives FTPing bei mir einwandfrei. Der Rest scheint auch problemlos zu funktionieren. Per Webmin habe ich dann die beiden Dinge fest eingefügt in meine iptables und nun bleibt alls auch nach einem Reboot wunderbar drin und funktioniert. Vielleicht hilft Dir das weiter.

Gruße

little_L

 

[coster]

vServer Powerpanel IPTABLES

Little_L - Danke für den Hinweis! Hat mir sehr weitergeholfen.

iptables -I INPUT -p tcp --tcp-flags ACK ACK -j ACCEPT
iptables -I INPUT -p tcp --tcp-flags SYN SYN -j ACCEPT

Noch eine Frage:
Wie kann ich das ganze im Powerpanel von vServer einstellen, sodass es nach einem Reboot noch funktioniert? Danke!

 

[mbroemme]

Little_L - Danke für den Hinweis! Hat mir sehr weitergeholfen.

iptables -I INPUT -p tcp --tcp-flags ACK ACK -j ACCEPT
iptables -I INPUT -p tcp --tcp-flags SYN SYN -j ACCEPT

Noch eine Frage:
Wie kann ich das ganze im Powerpanel von vServer einstellen, sodass es nach einem Reboot noch funktioniert? Danke!

Die PowerFirewall wird seit knapp einer Woche auch bei einem Reboot ueber die Konsole per SSH wiederhergestellt, also alles was du in der PowerFirewall im Kundeninterface als Regeln setzt, kommt auch nach einem VPS Reboot wieder, egal ob Reboot per PowerPanel oder per Konsole. Das stand schon lange auf der TODO.

@Alle: Beim naechsten Update, wird dann auch in die Default Regeln eine Portrange aufgenommen, welche bei den von da an neu installierten Servern in den FTP Konfigurationen als Passiv Portrange freigeschaltet wird. Auch das steht schon eine Weile auf der TODO.

 

[flo@web]

Sorry der Nachfrage, aber wenn ich die oben genannten 2 regeln einfüge ist der Server komplett offen. D.h. ich kann die firewall auch gleich ausschalten. Zumindest macht das so für mich den Eindruck.

Ich hab das Problem, dass mein vserver nicht erreichbar war und nach einem Reboot komme ich bei eingeschalteter Firewall nicht mehr per FTP auf den Server.
Vorher ist merkwürdigerweise alles bestens gelaufen.

MfG,
flo

 

[A6--Fan]

hi
ich hatte das selbe Problem, habe mich an s4y gewandt. Sie haben mir ein kostenpflichtiges Ticket erstellt, sie können das Problem lösen, ich solle aber 39 Euro dafür zahlen. Habe das nicht getan sondern eben die beiden o.g. Regeln eingefügt und nun funktioniert wieder ftp. Solange werde ich das eben so nutzen.

Stellt euch mal vor: Sie bieten eine Firewall an - nach der Aktivierung geht kein FTP mehr.......um die Firewall und FTP nun doch nutzen zu können, soll man nochmal zahlen...............IST DOCH EIN WITZ der schei.......... Laden......bin total enttäuscht von Server 4you. Hoffentlich lesen die das mal damit Ihr Laden mal auf Vordermann gebracht wird...........

Gruß
Ralf

 

[lynix]

@Alle: Beim naechsten Update, wird dann auch in die Default Regeln eine Portrange aufgenommen, welche bei den von da an neu installierten Servern in den FTP Konfigurationen als Passiv Portrange freigeschaltet wird. Auch das steht schon eine Weile auf der TODO.

Hat sich da schon was getan? Hab nämlich auch dieses lästige passive-FTP Problem... Außerdem check ich nich wie ich mit SmartFTP ohne passives FTP auf den Server komme...

Gruß,

lynix

 

[ferbo]

Little_L - Danke für den Hinweis! Hat mir sehr weitergeholfen.

iptables -I INPUT -p tcp --tcp-flags ACK ACK -j ACCEPT
iptables -I INPUT -p tcp --tcp-flags SYN SYN -j ACCEPT

Noch eine Frage:
Wie kann ich das ganze im Powerpanel von vServer einstellen, sodass es nach einem Reboot noch funktioniert? Danke!

Wie kann ich das denn über das Webinterface im PowerPanel unter Firewall hinzufügen?

Ist mit dem Befehl die Firewall tatsächlich wieder ausgehobel? Dann kann ich sie doch gleich abschalten, wo ist der unterschied?

Hat jemand ne bessere Lösung gefunden?

 

[o.moe]

Also ich habs jetzt so gelöst (bis S4Y das als Standard mit in ihr Template mit aufnimmt):

ProFTPD so konfiguriert, dass er bei passivem FTP nur auf eine gewissen Portrange hört (z.B. 51000:51999). 5-10 Ports pro FTP User sind imho ausreichend.
Das trägst du in /etc/proftpd.include ein: "PassivePorts 51000 51999"
Achte drauf, dass diese Datei in deine /etc/proftpd.conf eingebunden wird.

Danach startes du ProFTPD neu (z.B. über einen reboot deines Systems).

Dann trägst du zusätzlich zu der Recomended Vorlage der Firewall diese Ports ein: Quelle alle; Protokoll tcp; Remote Ports alle; Local Ports 51000:51999; Type allow;
Danach musst du die Firewall aktualisieren.

Bei mir hat das funktioniert und ich finde das ist ein guter Kompromiß.

Falls du noch aktives FTP einschalten möchtest musst du alle eingehenden nicht-priviligierte (1024:65535) Ports auf den lokalen 20 tcp freigeben.

Ich hoffe, das hilft dir weiter.

Gruß Moe.

 

[ferbo]

Achte drauf, dass diese Datei in deine /etc/proftpd.conf eingebunden wird.

Wie muss mein Eintrag in der /etc/proftpd.conf aussehen?

 

[o.moe]

Wie muss mein Eintrag in der /etc/proftpd.conf aussehen?

Also wenn du die diese Datei anschaust (z.B. mit 'vi' als Editor oder 'less' als Reader), sollte ein Entrag stehen wie:

Include /etc/proftpd.include

Wenn nicht, kannst du ihn z.B. am Ende einfügen. Die .include Datei sollte natürlich dann auch existieren

Gruß Moe.

 

[daniel28]

Moin,

ich hab das genauso gemacht wie beschrieben, Portrange eingestellt, conf abgeändert und .include mti entsprechendem Inhalt erstellt. Nach einem Reboot udn Aktualisieren leider keine Änderung, es wird kein Verzeichnis angezeigt.

Gruss Daniel

 

[gummel]

Hallo!

Ich lese gerade den Thread... Ich hatte (wahrscheinlich) bis vor wenigen Tagen keinerlei Probleme mit Firewall und FTP (egal ob aktiv oder passiv). Heute habe ich endlich gemerkt das die o.g. Probleme auch bei mir auftreten.

Mittlerweise habe ich nach reboots und einer kompletten Neuinstallation endlich herausgefunden das es die Firewall ist, die Probleme macht.

Was mich wundert: Ich habe die Firewall schon lange eingeschaltet gehabt und nie Probleme damit gehabt, jetz, ganz plötzlich läuft nichts mehr. Ist schon komisch.

Da der Thread schon etwas älter ist, scheint es bei mit "Zufall" zu sein, das es funktionierte.

Auf FTP kann ich leider nicht verzichten, da ich viel mit integrierten FTP-Clients mache, ich suche also nach einer Lösung um FTP wieder so an den start zu bringen, wie ich es gewohnt bin.

Ich bin mal gespannt, wie sich alles entwickelt.

Viele Grüße

Lars

 

[gummel]

Falls es noch jemanden interessiert:

Der Support hat mir geschrieben, leider aber das falsche Problem gelöst (auch hier im Forum "langsamer FTP Login".

Mittlerweile bin ich mir jedoch sicher, das es an der Powerfirewall liegt ich habe mein System wieder hingebogen und zwar so:

- Firewall komplett deaktiviert
- Neuinstallation beantragt
- Letztes Backup (da funktionierte die Firewall noch tadellos) eingespielt
- Fertig. Läuft. und die Firewall ist aktiv und FTP fluppt...

Was ich voraussichtlich nicht mehr benutzen kann ist die PowerFirewall, ich gehe davon aus, das bei Aktualiserung der ganze Spaß wieder von vorne losgeht und FTP wieder nicht mehr funktioniert.

Viele Grüße

Lars