Hello!
Pár napja telepítettem egy ftp szervert a pure-ftp-vel. Belső hálózatról tökéletesen működik minden,de ahogy az internet felöl próbálnám megközelíteni a könyvtárat akkor valami gond van. A kapcsolódás és az authentikáció sikerül ,de amikor a könyvtár tartalmát próbálná a kliens lekérni megakad az egész folyamat majd egy idő után timeout lesz belőle és a könyvtár tartalma nem jelenik meg.A routeren a 20,21 portokat forwardoltam. Azon kívül elméletileg a szerveren a ForcePassiveIP opciót is használom,de eddig nem találtam megoldást.
A kérdésem az lenne ,hogyan tudom megoldani a problémát hogy kivülről is lehessen látni a könyvtár tartalmát.
Segítséget előre is köszi!
Üdv.
- 1933 megtekintés
Hozzászólások
Passzív móddal csatlakozz a kliensről, és nyiss a pure-ftpd-be passzív portokat, ezeket forwardold be, a 20-at meg felejtsd el.
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
Hello!
Ha jól értem akkor a PassivePortRange opciót javaslod nekem ,hogy evvel adjak meg neki egy intervallumot hogy azokon a portokon csatlakozzon.Köszi a tippet kipróbálom működik-e.
Üdv.
- A hozzászóláshoz be kell jelentkezni
Hello!
Sajnos ez nem jött össze. Nyitottam passzív portokat és azokat forwardoltam be ,de ha nem forwardoltam mellé a 20,21 portokat nem is látta a szervert. Még most is ott tartok ,hogy kapcsolat van ,de a könyvtár tartalom nem jelenik meg ha kívülről próbálom elérni a szervert.Más ötlete valakinek nincs?
Üdv.
- A hozzászóláshoz be kell jelentkezni
Hello
Nálam így működik:
-Tűzfal: Nyitva a 21es és a 40000:40200 tartomány
-A pure-ftpd -t paranccsori paraméterekkel indítom (jó, nem én, hanem egy init szkript):
$ /usr/local/sbin/pure-ftpd [egyéb paraméterek] -p 40000:40200 &
Üdv
- A hozzászóláshoz be kell jelentkezni
mondjuk nekem vsftp van, de dettó ugyanezt csinálta, és az volt a gond, hogy kifelé a lan ip-t küldte a wan helyett, vagy mi. gondolom nálad erre szolgál a "passive ip" opció, de azért még nézz körül ilyen irányban, szerintem ugyanez a gondod.
de egyébként a logban gondolom leírja, mi isa a baj és minél akad el.
- A hozzászóláshoz be kell jelentkezni
Hello!
Úgy tűnik,hogy siker koronázta erőfeszítéseinket. A megoldás az volt ,hogy a ForcePassiveIP opciónak a domain nevét adtam meg a szervernek és nem a belső ip címét. Ezen kívül a PassivePortRange-t is beállítottam az ajánlott 40000-40200 tartományra.Eddig mondjuk nekem 40000-50000 között volt ,de ez nem hiszem hogy túl nagy befolyással lett volna az eredményre.Egy dolog miatt viszont egy kicsit aggódom ,hogy a routeren a 21-es porton kívül megnyitottam a 40000-40200 közötti portokat.Ez nem aggályos egy kicsit biztonsági szempontból?
A másik kérdésem a pure-ftp-hez kapcsolódik ,de terveim szerint szeretném éles bevetés elött beüzemelni a fail2ban nevű szolgáltatást a hackolások ellen. A kérdés az ,hogy a pure-ftp hova logolja ezeket a dolgokat ,mert a fail2ban meg a logokat nézi és azután lép akcióba ha valami rendellenességet lát a logba.Beillesztem a jail.conf ide vonatkozó részét.
[pure-ftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 3
bantime = 600
Egyenlőre úgy láttam mintha a syslogba logolna ,de a userek belépését nem találtam ott. A terv az ,hogy 3 kísérlet után arról az ip-ről ne engedjen be 10 percig be senkit.
Az eddigi ötleteket is köszönöm szépen,de ha valaki mélyebben ismeri az ftp szerver építés rejtelmeit és segít is azt köszönöm. Én még csak most kezdtem el vele ismerkedni és nem nagyon szeretnék hackertanyát építeni.
Üdv.
- A hozzászóláshoz be kell jelentkezni
ForcePassiveIP opciónak a domain nevét adtam meg a szervernek és nem a belső ip címét
Lol, azt hittem ez egyértelmű, hogy nem belső IP-vel akarunk netre menni...
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
Szia
Ömlesztve, ami eszembejutott:
Log ide megy alapból: /var/log/messages
Ha biztonságra törekszel, akkor a sima ftp nem jó választás. A jelszavak titkosításához üzemeld be a TLS/SSL modult az authentikációra.
A nyitott portokból elvileg nem lesz gubanc, mert mögöttük a pure-ftpd figyel.
Az "x próbálkozás-után-bannolás" dolgot tűzfalból lehet jobban megoldani, de sztem ezzel felesleges kínlódni. Ha megköveteled a TLS auth-ot, akkor alapból kiszűröd a próbálkozók 95%-át, akik clear text belépéssel próbálkoznak.
Üdv
- A hozzászóláshoz be kell jelentkezni
Hello!
A TLS/SSL már be van üzemelve,de hát az aggódás mindig meg van. Sajnos miután mondtam ,hogy új vagyok az ftp szerver konfigurálásába ezért nekem elöszőr nem volt egyértelmű ,de a leoltás miatt megtanulom.
Közeli terveimben szerepel az sftp megoldás is ,de még jó leírást nem találtam rá. Egyébként ssh szerverem kulcsos authentikációval.
Ha tudsz egy linket ami alapján az sftp-t össze lehet hozni a pure-ftp-vel azt megköszönöm.
Üdv.
- A hozzászóláshoz be kell jelentkezni