Elérhetetlen FTP tárhely

 ( J0se | 2017. április 19., szerda - 20:18 )

Sziasztok!

Adott egy FTP szerverként üzemelő Debian 8 (Proftpd) amelyre Windows kliensek csatlakoznak. Minden remekül működött egészen tegnap reggelig, amikor is az egyik kliens szólt, hogy nem éri el a számára fenntartott FTP tárhelyet. Azt hittem, hogy valamiért megadta magát és egy egyszerű rutin újraindítás meg fogja oldani a problémát, ám sajnos nem volt ilyen egyszerű. Mint kiderült csak ez az egy kliens nem éri el az FTP szervert, semmilyen eszközzel (Total Commander, Windows Explorer) de még böngészőből sem. El sem jut addig a dolog, hogy az autentikációs ablakot feldobja, Total Commander-ben "Kapcsolathívási hibával" száll el, böngészőben pedig egyszerű időtúllépéssel. Proftpd log-ban semmi használható információt nem találtam, semmi nyoma hibának, arra az IP-re amiről a kliens bejelentkezne azt mondja hogy "Login succesful". Kliens oldalon Tűzfal kikapcsolva, Vírusvédelem nem blokkol semmilyen URL-t.

Találkozott már valaki hasonló problémával? Esetleg valami okos ötlet, hogy mi lehet ez a jelenség?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kliensen ftp-port kilát? Oké, hogy a tűzfal nem fut, de ettől függetlenül ki kéne próbálni, hogy más ftp-szerverhez tud-e kapcsolódni.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Igen más FTP szerverekhez probléma nélkül tud kapcsolódni. Csak ez egy nem megy neki.

A kliens ellát oda (traceroute)?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Igen, sőt még a telnet is összejön TELNET [ ip-address ] 21

nat, passziv mod?

Mindkét módszerrel próbáltam, eddig aktív kapcsolati móddal használták, most aktívval és passzívval sem jó.

A telnet kísérlet látszik a logban?
iptables -L ?
fail2ban van?

---
"A megoldásra kell koncentrálni nem a problémára."

Szerintem az IP cím lehet tiltva a szerveren.

iptables nem lett konfigurálva elvileg ... legalábbis általam nem.

Hányan konfiguráljátok? :)
/etc/hosts.deny -ban nem lehet titva a távoli gép?
Egyáltalán: a távoli gép fix v. dinamikus IP-s?

Hát minden tiltakozás ellenére 2-3-an.
A Fájlban a megjegyzés szövegrészeken kívül nincs semmi.
A távoli gépnek fix IP címe van.

"arra az IP-re amiről a kliens bejelentkezne azt mondja hogy "Login succesful""

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szerintem futtass egy tcpdump-ot a szerveren, meg ugyanakkor egy Wireshark-ot a kliensen. És akkor látod, hogy mik azok a csomagok hálózati szinten, amik elindultak a kliensről, és mik azok, amik megérkeztek a szerverre.

A Wireshark nem nem kap el sem kimenő sem bejövő FTP csomagot ha a csatlakozni szeretnék a szerverre. Mintha el sem indulna a kommunikáció.

iptraf a szerveren látja a bejövő ftp-forgalmat?
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Kliens oldalon ugyanarról a hálózatról másik eszköz tud csatlakozni?
Szerintem víruskergető lehet a hunyó.

Hát az a baj, hogy az ügyfélnek egy gépe van, de valahogy majd megoldjuk.
Víruskeresőben nincs blokkolva URL, Protokoll semmi ... Vagy van valami egyéb amit meg kellene néznem? (NOD32 8-as verzió)

Ez a gép ugye nem mobilnet-en van?
Mert egyes szolgáltatók mobilneten tiltják, vagy korlátozzák az FTP-t.

---
"A megoldásra kell koncentrálni nem a problémára."

Nem nem mobilnet van.

Ha login succesful, akkor lehet, hogy a kapcsolódás sikeres, csak a könyvtárlista nem jön le? TC log szerint is sikeres a login? Szerver oldali tűzfal lesz ez így első tippre.

Ha nem jut el a loginig akkor aligha írhatná a szerverlog, hogy sikeres a login.

Én azt hiszem nem lehet sikeres a login, mert ha például böngészőből szeretném elérni a tárhelyet akkor időtúllépéssel lehal az egész. Vagy rosszul hiszem, nincs összefüggés?

Szerver oldalon próbáltál már belépni kliensként a user nevében?
Ez sok mindent eldönthet. ;)