pure-ftp távolról

Debian GNU/Linux

Hello!

Pár napja telepítettem egy ftp szervert a pure-ftp-vel. Belső hálózatról tökéletesen működik minden,de ahogy az internet felöl próbálnám megközelíteni a könyvtárat akkor valami gond van. A kapcsolódás és az authentikáció sikerül ,de amikor a könyvtár tartalmát próbálná a kliens lekérni megakad az egész folyamat majd egy idő után timeout lesz belőle és a könyvtár tartalma nem jelenik meg.A routeren a 20,21 portokat forwardoltam. Azon kívül elméletileg a szerveren a ForcePassiveIP opciót is használom,de eddig nem találtam megoldást.
A kérdésem az lenne ,hogyan tudom megoldani a problémát hogy kivülről is lehessen látni a könyvtár tartalmát.
Segítséget előre is köszi!

Üdv.

  • 1933 megtekintés

( penztar v | 2008. 08. 24., v – 09:42 )

Hello!

Ha jól értem akkor a PassivePortRange opciót javaslod nekem ,hogy evvel adjak meg neki egy intervallumot hogy azokon a portokon csatlakozzon.Köszi a tippet kipróbálom működik-e.

Üdv.

( penztar v | 2008. 08. 24., v – 13:12 )

Hello!

Sajnos ez nem jött össze. Nyitottam passzív portokat és azokat forwardoltam be ,de ha nem forwardoltam mellé a 20,21 portokat nem is látta a szervert. Még most is ott tartok ,hogy kapcsolat van ,de a könyvtár tartalom nem jelenik meg ha kívülről próbálom elérni a szervert.Más ötlete valakinek nincs?

Üdv.

mondjuk nekem vsftp van, de dettó ugyanezt csinálta, és az volt a gond, hogy kifelé a lan ip-t küldte a wan helyett, vagy mi. gondolom nálad erre szolgál a "passive ip" opció, de azért még nézz körül ilyen irányban, szerintem ugyanez a gondod.
de egyébként a logban gondolom leírja, mi isa a baj és minél akad el.

( penztar v | 2008. 08. 24., v – 21:53 )

Hello!

Úgy tűnik,hogy siker koronázta erőfeszítéseinket. A megoldás az volt ,hogy a ForcePassiveIP opciónak a domain nevét adtam meg a szervernek és nem a belső ip címét. Ezen kívül a PassivePortRange-t is beállítottam az ajánlott 40000-40200 tartományra.Eddig mondjuk nekem 40000-50000 között volt ,de ez nem hiszem hogy túl nagy befolyással lett volna az eredményre.Egy dolog miatt viszont egy kicsit aggódom ,hogy a routeren a 21-es porton kívül megnyitottam a 40000-40200 közötti portokat.Ez nem aggályos egy kicsit biztonsági szempontból?
A másik kérdésem a pure-ftp-hez kapcsolódik ,de terveim szerint szeretném éles bevetés elött beüzemelni a fail2ban nevű szolgáltatást a hackolások ellen. A kérdés az ,hogy a pure-ftp hova logolja ezeket a dolgokat ,mert a fail2ban meg a logokat nézi és azután lép akcióba ha valami rendellenességet lát a logba.Beillesztem a jail.conf ide vonatkozó részét.
[pure-ftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3
bantime = 600
Egyenlőre úgy láttam mintha a syslogba logolna ,de a userek belépését nem találtam ott. A terv az ,hogy 3 kísérlet után arról az ip-ről ne engedjen be 10 percig be senkit.
Az eddigi ötleteket is köszönöm szépen,de ha valaki mélyebben ismeri az ftp szerver építés rejtelmeit és segít is azt köszönöm. Én még csak most kezdtem el vele ismerkedni és nem nagyon szeretnék hackertanyát építeni.

Üdv.

Szia

Ömlesztve, ami eszembejutott:

Log ide megy alapból: /var/log/messages

Ha biztonságra törekszel, akkor a sima ftp nem jó választás. A jelszavak titkosításához üzemeld be a TLS/SSL modult az authentikációra.

A nyitott portokból elvileg nem lesz gubanc, mert mögöttük a pure-ftpd figyel.

Az "x próbálkozás-után-bannolás" dolgot tűzfalból lehet jobban megoldani, de sztem ezzel felesleges kínlódni. Ha megköveteled a TLS auth-ot, akkor alapból kiszűröd a próbálkozók 95%-át, akik clear text belépéssel próbálkoznak.

Üdv

( penztar v | 2008. 08. 25., h – 20:25 )

Hello!

A TLS/SSL már be van üzemelve,de hát az aggódás mindig meg van. Sajnos miután mondtam ,hogy új vagyok az ftp szerver konfigurálásába ezért nekem elöszőr nem volt egyértelmű ,de a leoltás miatt megtanulom.
Közeli terveimben szerepel az sftp megoldás is ,de még jó leírást nem találtam rá. Egyébként ssh szerverem kulcsos authentikációval.
Ha tudsz egy linket ami alapján az sftp-t össze lehet hozni a pure-ftp-vel azt megköszönöm.

Üdv.