proftpd [TLS] und Filezilla verbindungs Problem

[n3oth3on3]

Guten Tag,
ich habe seit gestern einen kleinen Server für sehr kleine Sachen wie Teamspeak und so. Der Teamspeak Server läuft bereits ohne Probleme nur habe ich seit gestern ein kleines Problem mit Proftpd. Immer wenn ich versuche mit Filezilla mich zu verbinden kommen nur Fehler und es erscheint keine Auflistung, außerdem kann ich keine Daten reinpacken weil der Server meint das ich nicht genügend Rechte habe. Auch wenn ich sie schon geändert habe. Auf dem Server läuft zurzeit Debian 4.0 ohne irgendwelche Administrativen Tools wie Plesk oder conffix.


Filezilla log

Status:	Verbinde mit 87.118.xx.xxx:21...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 FTP Server ready.
Befehl:	AUTH TLS
Antwort:	234 AUTH TLS successful
Status:	Initialisiere TLS...
Status:	Überprüfe Zertifikat...
Befehl:	USER n3oth3on3
Status:	TLS/SSL-Verbindung hergestellt.
Antwort:	331 Password required for n3oth3on3.
Befehl:	PASS ********
Antwort:	230 User n3oth3on3 logged in.
Befehl:	PBSZ 0
Antwort:	200 PBSZ 0 successful
Befehl:	PROT P
Antwort:	200 Protection set to Private
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	PWD
Antwort:	257 "/" is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I
Befehl:	PASV
Antwort:	227 Entering Passive Mode (87,118,xx,xxx,223,92).
Befehl:	LIST
Antwort:	150 Opening ASCII mode data connection for file list
Status:	Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler:	Transferverbindung unterbrochen: ECONNABORTED - Connection aborted
Antwort:	226 Transfer complete.
Fehler:	Verzeichnisinhalt konnte nicht empfangen werden

Proftpd config

#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
# 

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6				off
DefaultRoot ~
ServerIdent on "FTP Server ready."

# DNS
UseReverseDNS off
IdentLookups off 

ServerName			"Erkentown"
ServerType			standalone
DeferWelcome			off

MultilineRFC2228		on
DefaultServer			on
ShowSymlinks			on

TimeoutNoTransfer		600
TimeoutStalled			600
TimeoutIdle			1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                	"-l"

DenyFilter			\*.*/

# Port 21 is the standard FTP port.
Port				21

# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts                    49152 65534

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances			30

# Set the user and group that the server normally runs at.
User				n3oth3on3
Group				n3oth3on3

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask				022  022
# Normally, we want files to be overwriteable.
AllowOverwrite			on

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
# PersistentPasswd		off

# Be warned: use of this directive impacts CPU average load!
#
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
# UseSendFile			off

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

# Uncomment this if you would use TLS module:
TLSEngine				on
TLSLog 					/var/log/tls.log
TLSProtocol				SSLv23
TLSOptions				NoCertRequest
TLSRSACertificateFile			/etc/ssl/certs/proftpd.cert.pem
TLSRSACertificateKeyFile		/etc/ssl/certs/proftpd.key.pem
TLSVerifyClient				off

QuotaEngine on

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default. 

DelayEngine on

ControlsEngine        on
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock

AdminControlsEngine on

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User				ftp
#   Group				nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
#   UserAlias			anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser	on ftp
#   DirFakeGroup on ftp
# 
#   RequireValidShell		off
# 
#   # Limit the maximum number of anonymous logins
#   MaxClients			10
# 
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin			welcome.msg
#   DisplayFirstChdir		.message
# 
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
# 
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask				022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
# 
# </Anonymous>

Habe auch die Ports freigeschaltet mit

iptables -A INPUT -p TCP -s 0/0 --sport 49152:65534 -d 0/0 --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 49152:65534 -s 0/0 --sport 20:21 -j ACCEPT

iptables -A OUTPUT -p TCP -d 0/0 --dport 20:21 -s 0/0 --sport 49152:65534 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 20:21 -d 0/0 --dport 49152:65534 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p TCP -d 0/0 --dport 49152:65534 -s 0/0 --sport 49152:65534 -j ACCEPT
iptables -A INPUT -p TCP -d 0/0 --dport 49152:65534 -s 0/0 --sport 49152:65534 -m state --state RELATED,ESTABLISHED -j ACCEPT

Würde mich sehr über Hilfe freuen, denn das ist zurzeit mein kleines Problem an dem Server. Ohne FTP bringt er mir zurzeit kaum etwas

mfg
Thomas

 

[n3oth3on3]

kann mir niemand dazu helfen?

 

[mr_brain]

Kann das vielleicht am Active- bzw. Passive-Mode liegen?

 

[n3oth3on3]

komme zwar zurzeit mit Debian klar aber was ist ein Active- bzw. Passive-Mode ?

 

[LinuxAdmin]

File Transfer Protocol ? Wikipedia

 

[n3oth3on3]

Edit :

Soo hab nun bissl was ausprobiert, denke das ganze liegt etwas an meinen Gruppen und Benutzern...Kann mich zurzeit mit TLS gar nicht anmelden, sehe dann kein Verzeichnis. Normal gehts zwar, aber ich kann dann keine Datein ersetzen, er meint dann immer Permission denied ( Also das ich keine Rechte habe ) . Habe zurzeit 3 Benutzer auf meinem Server, n3oth3on3, ts und root. Am liebsten würde ich alles mit n3oth3on3 machen, denn root sollte man doch am besten nicht benutzen und ts ist ansich nur für teamspeak gedacht. Gibts für Linux sowas wie ein Tutorial wie man das alles verändern kann?

Habe bisher nur Tutorials gefunden wie man User erstellt oder Gruppen, oder wie man sie löscht und so.

Aber wieso ich nicht mit TLS reinkomme, verstehe ich immer noch nicht. Weil das aller erstemal gings noch ohne Probleme.

 

[SusiG]

Dafür gibt es einen patch für mod_tls von proftpd. Aber mögliche Lösung wäre, entweder proftpd Version ab 1.3.2rc2 nehmen oder ein Downgrade auf eine ältere Version von Filezilla machen.