Server4You, FTP und iptables

[lynix]

Moin!

Ich hab einen vServer bei Server4You (leider... ) und seit Kurzem die iptables-Firewall-Funktion im vServer-Menü aktiviert. Funktioniert auch wunderbar, alle benötigten Ports sind offen, der Rest schön zu.
Allerdings komme ich auf meinen FTP nicht mehr richtig drauf: Login geht, Verzeichniswechsel geht auch, aber wenn ich n ls machen oder n file transferieren will, bleibt er nach dem "PORT"-Befehl hängen.

Ich hab übrigens lokal auf dem Server per iptables-Regel den 113er Port gesperrt, warum brauch ich denk ich nich großartig erwähnen, gibts ja genug Threads hier im Forum

Jemand ne Idee, warum ich nichtmehr auf den FTP komme?

Gruß,

lynix


EDIT: Achja, anbei mal die Firewallregeln (ist bei Server4You der Standardregelsatz)

 

[lynix]

Hier noch der Output in meinem FTP-Proggi:

    SmartFTP v1.5.990.11
    Resolving host name "hiermeinedomain.net"
    Connecting to 62.75.241.105 Port: 21
    Connected to hiermeinedomain.net.
220 FTP Server ready.
    USER web1
331 Password required for web1.
    PASS (hidden)
230 User web1 logged in.
    SYST
215 UNIX Type: L8
    FEAT
211-Features:
 MDTM
 REST STREAM
 SIZE
211 End
    PWD
257 "/" is current directory.
    CWD /
250 CWD command successful.
    PWD
257 "/" is current directory.
    TYPE I
200 Type set to I
    PASV
227 Entering Passive Mode (62,75,241,105,164,6).
    Opening data connection to 62.75.241.105 Port: 41990
    LIST -aL

Danach passiert nix mehr und mein Proggi geht auf Timeout.

Gruß,

lynix

 

[society]

Stelle mal in deinem FTP Programm das Passive um und berichte hier nochmal..
​

 

[lynix]

Hi, society!

Thx für die Antwort

K, hab passive mode deaktiviert und hier das Ergebnis (woeder mit Timeout als Resultat):

    SmartFTP v1.5.990.11
    Resolving host name "hiermeinedomain.net"
    Connecting to 62.75.241.105 Port: 21
    Connected to hiermeinedomain.net.
220 FTP Server ready.
    USER web3
331 Password required for web3.
    PASS (hidden)
230 User web3 logged in.
    SYST
215 UNIX Type: L8
    FEAT
211-Features:
 MDTM
 REST STREAM
 SIZE
211 End
    PWD
257 "/" is current directory.
    TYPE I
200 Type set to I
    PORT 10,0,0,10,6,51
200 PORT command successful
    LIST -aL

Gruß,

lynix

 

[lynix]

Moin!

Tja, hab die Firewall wieder entfernt, jetzt funktioniert's wieder einwandfrei

Das Prob müssten doch alle S4Y-Kunden haben??? Mach ich was falsch? ^^

Gruß,

lynix

 

[Anardil]

Dasselbe hier auch

 

[Anardil]

Du musst den Port 20 8ftp-data) noch freischalten.

 

[A6--Fan]

wie macht man das?
per Powerpanel und
per ssi (putty)

Danke
Ralf

 

[Thorsten]

Hallo!
Genau wie Port 21 (ftp) Port 20 (ftp-data) per Powerpanel.

mfG
Thorsten

 

[lynix]

Moin!

Wollte es nochmal versuchen, gleiches Prob.

Hab jetzt den 20er auch freigegeben, komm aber mit dem Standard-Kommandozeilen-FTP von Windoof net drauf...

ftp> open meinedomain.de
Verbindung mit meinedomain.de wurde hergestellt.
220 FTP Server ready.
Benutzer (meinedomain.de:(none)): web3
331 Password required for web3.
Kennwort:
230 User web3 logged in.
ftp> ls
200 PORT command successful
Verbindung beendet durch Remotehost.
ftp>

Jemand noch n Tip?

Gruß,

lynix

 

[Ilai]

der einzige halbwegs vernünftige Ansatz dazu, der mir einfällt, wäre:

Einen Port Bereich zu definieren, der NUR für User Connections verwendet werden darf, und den dann im Paketfilter freischalten. Wo kein Dienst läuft, braucht man auch keinen geschlossenen Port, um das System abzusichern.

Wenn du also non-well-known Ports, welche das System verwendet, explizit absicherst (kannst du dir mit netstat -l anzeigen lassen, alle über 1024) dann kannst du die übrigen stateless öffnen. Damit müsste dann FTP aktiv und passiv funktionieren.

Conntrack etc. ist besonders auf VServern immer heikel, und ein stateful Filtering damit leider unmöglich.

 

[lynix]

Dann hab ich nurnoch das Problem dass ich in meinem Regelsatz keine Regel mehr frei hab, es dürfen ja nur 16 sein. Und zwei Regelsätze gleichzeitig kann man ja auch net aktivieren, also wie bekomm ich die zusätzliche Regel da rein?

Gruß,

lynix

 

[Ilai]

autsch... also die Anzahl der beim Host möglichen Rules wirst du vermutlich gar nicht umgehen können :-(

 

[lynix]

Mal schauen, ich hab Platz gemacht durch das Entfernen der Regel für den Plesk-Lizenzerwerb, da auf meinem vServer kja kein Plesk läuft ^^

Wie genau müsste denn die Regel für das passive FTP auf sagen wir Ports 1212-1224 lauten? Ich denk in die proftpd.conf bekomm ich das reingehauen

Gruß,

lynix

 

[Ilai]

iptables -I $chain $position -p tcp --dport 1212:1224 -j ACCEPT

 

[lynix]

Okay, ich hab das entsprechend in meinen Regelsatz bei S4Y eingetragen (siehe angehängter Screeny). Außerdem in die /etc/proftpd.conf die Zeile "PassivePorts 1212-1224" eingetragen.

Mal schauen, er macht gerade nen Reboot. Sollte das dann funzen oder muss ich noch was ändern?

Gruß,

lynix

 

[lynix]

Extrem verwirrend:

Ich ha gerade per "iptables -L" rausgefunden, dass meine Einstellungen vom PowerPanel überhaupt nicht übernommen werden. Okay, also manuell per iptables-command die von dir genannte Regel eingefügt - geht trotzdem nicht, es kommt noch nicht mal ein Login zustande.

Dann hab ich mal über ssh versucht, vom Server selbst auf sich selbst zu connecten, da heißt es

ftp> open localhost
Connected to localhost.localdomain.
421 Service not available, remote server has closed connection
ftp>

Aber laut "netetst -l" horcht da was auf Port 21...

Also irgendwie ergibt das alles für mich keinen Sinn, ich hätte Lust, mal wieder n Support-Ticket zu erstellen, aber die helfen bestimmt nicht...


Gruß,

lynix