proFTPD+TLS + iptables = keine Verbindung möglich

[Evolis2k2]

Hallo ihr

Ich bin gerade dabei, proFTPD mit TLS zu verschlüsseln.

Soweit funktioniert es auch, nur nach dem Einloggen weigert sich mein Client, die Verzeichnisse aufzulisten und schmeißt mit wegen einer "Zeitüberschreitung" raus. Ich denke, es liegt an iptables... (vorher, ohne Verschlüsselung, lief das ganze ohne Probleme)

Hier mal die iptables-Regeln:

iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 -d 0/0 --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 --sport 20:21 -j ACCEPT

iptables -A OUTPUT -p TCP -d 0/0 --dport 20:21 -s 0/0 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 20:21 -d 0/0 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 --sport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

Hier die aufgabe der proftpd.log

USER web2: Login successful.
Preparing to chroot to directory '/home/web2/ftp'
mod_delay/0.5: delaying for 1673429 usecs
Refused PORT 192,168,1,2,169,255 (address mismatch)

Ich kriege einfach keinen richtigen Zugriff...

Wisst ihr vielleicht eine Lösung?

 

[Ben.]

Ist der FTP auf passiv oder aktiv eingestellt? Schonmal daran gedreht?

 

[Evolis2k2]

ob ich den clienten auf aktiv, oder passiv stelle, macht keinen unterschied... es gibt immer ein "adress missmatch"
*edit*

So, ich bin wohl etwas weiter gekommen...

Die Iptables habe ich um die 2 ersten Regeln erweitert auf:

iptables -A INPUT -p TCP --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p UDP --dport 1024:65535 -j ACCEPT

iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 -d 0/0 --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 --sport 20:21 -j ACCEPT

iptables -A OUTPUT -p TCP -d 0/0 --dport 20:21 -s 0/0 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 20:21 -d 0/0 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 --sport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

Folgende Fehlermeldung spuckt Filezilla nun aus:

Antwort:	227 Entering Passive Mode (85,214,78,61,125,86).
Befehl:	LIST
Antwort:	150 Opening ASCII mode data connection for file list
Status:	Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler:	Transferverbindung unterbrochen: ECONNABORTED - Connection aborted
Antwort:	226 Transfer complete.
Fehler:	Verzeichnisinhalt konnte nicht empfangen werden
Status:	Sende Verbindungserhaltungs-Befehl

Jemand eine Idee??

 

[Evolis2k2]

Putzig, es liegt nicht am Server, sondern am FTP-Clienten. Filezilla mag diese Konstellation wohl nicht. Mit fireftp funktioniert die Verbindung einwandfrei.

 

[Malagant]

Hast du das Problem irgendwie gelöst? ProFTPd zu updaten würde ja vermutlich helfen, das geht aber (bei mir) nicht ohne Plesk zu deinstallieren.