ftp-server toegang homepage

Discussion:

ftp-server toegang homepage

(te oud om op te antwoorden)

A.J. Duijn

2008-06-20 11:31:26 UTC

Ik probeer gebruik te maken de ftp-server van mijn provider om een
homepage te kunnen uploaden. Dit lukt niet.

Provider: Abel
Modem: Allied Data Copperjet 1616-2P 'Powered by bbned'. (Log in met
DHCP, kan niet in modem komen.)

Operating System: Ubuntu 8.04 beta
Applicatie: File Zilla

Bij Edit->conf wizard krijg ik de onderstaande foutmelding.

Instellingen:
Default transfer mode: passive
Use the servers' extern IP-address instead
Get the IP-address from the followin URL
Use the following port range

Testrapport:
Connecting to probe.filezilla-project.org
Response: 220 FZ router and firewall tester ready
USER FileZilla
Response: 331 Give any password.
PASS 3.0.7.1
Response: 230 logged on.
Checking for correct external IP address
Retrieving external IP address from http://ip.filezilla-project.org/ip.php
Checking for correct external IP address
IP 89.220.236.161 ij-cca-cdg-bgb
Response: 200 OK
PREP 6000
Response: 200 Using port 6000, data token 1742059280
PORT 89,220,236,161,23,112
Response: 200 PORT command successful
LIST
Response: 150 opening data connection
Response: 503 Failure of data connection.
Server sent invalid reply.
Connection closed

Er draait geen firewall op de computer.
Bij http://www.canyouseeme.org wordt bij alle genoemde poorten van 21 tot
5631 'connection refused' gemeld.

Bestaat er een oplossing? En zo ja, waar vind ik die?

Guido van Brakel

2008-06-20 13:18:58 UTC

Post by A.J. Duijn
Ik probeer gebruik te maken de ftp-server van mijn provider om een
homepage te kunnen uploaden. Dit lukt niet.
Provider: Abel
Modem: Allied Data Copperjet 1616-2P 'Powered by bbned'. (Log in met
DHCP, kan niet in modem komen.)
Operating System: Ubuntu 8.04 beta
Applicatie: File Zilla
Bij Edit->conf wizard krijg ik de onderstaande foutmelding.
Default transfer mode: passive
Use the servers' extern IP-address instead
Get the IP-address from the followin URL
Use the following port range
Connecting to probe.filezilla-project.org
Response: 220 FZ router and firewall tester ready
USER FileZilla
Response: 331 Give any password.
PASS 3.0.7.1
Response: 230 logged on.
Checking for correct external IP address
Retrieving external IP address from http://ip.filezilla-project.org/ip.php
Checking for correct external IP address
IP 89.220.236.161 ij-cca-cdg-bgb
Response: 200 OK
PREP 6000
Response: 200 Using port 6000, data token 1742059280
PORT 89,220,236,161,23,112
Response: 200 PORT command successful
LIST
Response: 150 opening data connection
Response: 503 Failure of data connection.
Server sent invalid reply.
Connection closed
Er draait geen firewall op de computer.
Bij http://www.canyouseeme.org wordt bij alle genoemde poorten van 21 tot
5631 'connection refused' gemeld.
Bestaat er een oplossing? En zo ja, waar vind ik die?

Hallo

Als ik telnet naar de ftp-server waar jij naar toe connect
(89.220.236.161) krijg ik ook geen verbinding. Misschien is die
ftp-server down of staan daar de firewall instellingen niet goed.

Ik adviseer je even met Abel te bellen.

Groet,

--
Guido van Brakel
--

A.J. Duijn

2008-06-20 16:58:43 UTC

Post by Guido van Brakel
Als ik telnet naar de ftp-server waar jij naar toe connect
(89.220.236.161) krijg ik ook geen verbinding. Misschien is die
ftp-server down of staan daar de firewall instellingen niet goed.
Ik adviseer je even met Abel te bellen.

Je hebt getelnet naar mijn dynamische IP-adres. Daar draaien geen servers.
Bij deze test is de ftp-server voor de homepage bij de provider niet
betrokken. Alleen de netwerkconfiguratie wordt getest.

Inmiddels heb ik onder Windows XP geprobeerd met WS_FTP te connecten naar
de ftp-server bij de provider en
is het gelukt om een directory 'test' aan te maken op de homepage.
(http://www.ajduijn.mijnabel.nl) Ook
daarbij krijg ik foutmeldingen maar op mijn Window-XP draait een
firewall.
Terug op Linux met File Zilla en connectend naar de ftp-server voor de
homepage krijg ik:

Response: 220 Welcome to the FreeSurf homepage FTP server
Command: USER ********
Response: 331 Password required for ********
Command: PASS ********
Response: 230 User ******** logged in. Access restrictions apply.
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (62,100,30,165,208,145)
Command: LIST
Error: Connection timed out
Error: Failed to retrieve directory listing

En vervolgens weet ik het niet meer. Ik zou bij LIST mijn directory
'test' verwachten. Met WS-FTP heb ik kunnen achterhalen dat het protocol
volgens UNIX (Standaard) zou moeten verlopen.

Wie begrijpt er wat van?

tjoen

2008-06-20 17:31:53 UTC

Post by A.J. Duijn
Inmiddels heb ik onder Windows XP geprobeerd met WS_FTP te connecten naar
de ftp-server bij de provider en
is het gelukt om een directory 'test' aan te maken op de homepage.
(http://www.ajduijn.mijnabel.nl) Ook
daarbij krijg ik foutmeldingen maar op mijn Window-XP draait een
firewall.

Klinkt als active ftp.

Post by A.J. Duijn
Terug op Linux met File Zilla en connectend naar de ftp-server voor de

...

Post by A.J. Duijn
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (62,100,30,165,208,145)

Ik ben vergeten wat die laatste twee cijfers betekenen.

Post by A.J. Duijn
Command: LIST
Error: Connection timed out
Error: Failed to retrieve directory listing

Misschien active ftp proberen?
Op je firewall wel alles boven poort 1024 openzetten.

Post by A.J. Duijn
Met WS-FTP heb ik kunnen achterhalen dat het protocol
volgens UNIX (Standaard) zou moeten verlopen.

Dat zegt vlgs mij alleen dat CR/LF omgezet moeten worden in LF

richard lucassen

2008-06-20 17:41:41 UTC

On Fri, 20 Jun 2008 19:31:53 +0200

Post by tjoen

Post by A.J. Duijn
Response: 227 Entering Passive Mode (62,100,30,165,208,145)

Ik ben vergeten wat die laatste twee cijfers betekenen.

Volgens mij het poort nummer: 208 x 256 + 145 x 1, oftewel
poort 4241

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

dillinger

2008-06-20 20:30:12 UTC

Post by A.J. Duijn

Post by Guido van Brakel
Als ik telnet naar de ftp-server waar jij naar toe connect
(89.220.236.161) krijg ik ook geen verbinding. Misschien is die
ftp-server down of staan daar de firewall instellingen niet goed.
Ik adviseer je even met Abel te bellen.

Je hebt getelnet naar mijn dynamische IP-adres. Daar draaien geen servers.
Bij deze test is de ftp-server voor de homepage bij de provider niet
betrokken. Alleen de netwerkconfiguratie wordt getest.
Inmiddels heb ik onder Windows XP geprobeerd met WS_FTP te connecten naar
de ftp-server bij de provider en
is het gelukt om een directory 'test' aan te maken op de homepage.
(http://www.ajduijn.mijnabel.nl) Ook
daarbij krijg ik foutmeldingen maar op mijn Window-XP draait een
firewall.
Terug op Linux met File Zilla en connectend naar de ftp-server voor de
Response: 220 Welcome to the FreeSurf homepage FTP server
Command: USER ********
Response: 331 Password required for ********
Command: PASS ********
Response: 230 User ******** logged in. Access restrictions apply.
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (62,100,30,165,208,145)
Command: LIST
Error: Connection timed out
Error: Failed to retrieve directory listing
En vervolgens weet ik het niet meer. Ik zou bij LIST mijn directory
'test' verwachten. Met WS-FTP heb ik kunnen achterhalen dat het protocol
volgens UNIX (Standaard) zou moeten verlopen.
Wie begrijpt er wat van?

Probeer het eens in active mode.

Michel.

A.J. Duijn

2008-06-20 22:48:02 UTC

Post by dillinger
Probeer het eens in active mode.

In File Zilla had ik al geprobeerd in de active mode. Wilde niet lukken.
Op de commandoprompt bestaan er ftp en pftp. Ftp is active mode en pftp
passive mode.

Een sessie met active mode levert dit op:

adrdui@********:~$ ftp -n -v ajduijn.mijnabel.nl 21
Connected to ajduijn.mijnabel.nl.
220 Welcome to the FreeSurf homepage FTP server
ftp> user ******** ********
331 Password required for ********.
230 User ******** logged in. Access restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/" is current directory.
ftp> mkdir test
257 "/miscc/home/**/**/********/data/test" new directory created.
ftp> rmdir test
250 RMD command successful.
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp: bind: Address already in use
ftp> ls
500 Illegal PORT Command
ftp> close
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 579 bytes in 0 transfers.
221-Thank you for using the FTP service on khaki.qinip.net.
221 Goodbye.
ftp> bye

Een sessie met passive mode levert dit op:

adrdui@*********:~$ pftp -n -v ajduijn.mijnabel.nl 21
Connected to ajduijn.mijnabel.nl.
220 Welcome to the FreeSurf homepage FTP server
ftp> user ******** ********
331 Password required for ********.
230 User ******** logged in. Access restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/" is current directory.
ftp> mkdir test
257 "/miscc/home/**/**/********/data/test" new directory created.
ftp> rmdir test
250 RMD command successful.
ftp> put index.html
local: index.html remote: index.html
227 Entering Passive Mode (62,100,30,165,203,47)
ftp: connect: Connection timed out
ftp> ls
227 Entering Passive Mode (62,100,30,165,152,240)
ftp: connect: Connection timed out
ftp> status
Connected to ajduijn.mijnabel.nl.
No proxy connection.
Mode: stream; Type: binary; Form: non-print; Structure: file
Verbose: on; Bell: off; Prompting: on; Globbing: on
Store unique: off; Receive unique: off
Case: off; CR stripping: on
Quote control characters: on
Ntrans: off
Nmap: off
Hash mark printing: off; Use of PORT cmds: on
Tick counter printing: off
ftp> close
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 590 bytes in 0 transfers.
221-Thank you for using the FTP service on khaki.qinip.net.
221 Goodbye.
ftp> bye

Op Windows XP met WS_FTP wordt een vergelijkbaar resultaat verkregen.
Deze keer mijn firewall even uitgeschakeld. Hetzelfde resultaat. Het is
wel mogelijke mappen aan te maken, te verwijderen en naar toe te gaan,
maar listen en files oversturen gaan niet.

Wie snapt het en weet een oplossing?

Martijn Lievaart

2008-06-21 07:41:47 UTC

Post by A.J. Duijn

Post by dillinger
Probeer het eens in active mode.

In File Zilla had ik al geprobeerd in de active mode. Wilde niet lukken.
Op de commandoprompt bestaan er ftp en pftp. Ftp is active mode en pftp
passive mode.
ajduijn.mijnabel.nl.
220 Welcome to the FreeSurf homepage FTP server ftp> user ********
********
331 Password required for ********.
230 User ******** logged in. Access restrictions apply. Remote system
type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/" is current directory.
ftp> mkdir test
257 "/miscc/home/**/**/********/data/test" new directory created. ftp>
rmdir test
250 RMD command successful.
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp: bind: Address already in use
ftp> ls
500 Illegal PORT Command
ftp> close
221-You have transferred 0 bytes in 0 files. 221-Total traffic for this
session was 579 bytes in 0 transfers. 221-Thank you for using the FTP
service on khaki.qinip.net. 221 Goodbye.
ftp> bye

Active mode is wat je kan verwachten, gaat nooit werken door de NAT.

Kan je een "tcpdump host ajduijn.mijnabel.nl" doen? Ik ben geinteresseerd
in alle pakketten vanaf (en inclusief) de regel met het PORT commando
todat de prompt weer terug komt.

M4

A.J. Duijn

2008-06-21 12:09:50 UTC

Post by Martijn Lievaart
Active mode is wat je kan verwachten, gaat nooit werken door de NAT.
Kan je een "tcpdump host ajduijn.mijnabel.nl" doen? Ik ben
geinteresseerd in alle pakketten vanaf (en inclusief) de regel met het
PORT commando todat de prompt weer terug komt.

Op de ene terminal met 'sudo tcpdump host ajduijn.mijnabel.nl'
respectievelijk tcpdump -v en tcpdump -vv gedraaid.
Op de andere terminal drie keer ftp (is active mode) 'put index.html'
gedraaid. Tcpdump is voor mij een onbekend programma. Ik begrijp er niets
van, ik zal de documentatie moeten bestuderen.

adrdui@**********:~$ ftp -n -v ajduijn.mijnabel.nl 21
Connected to ajduijn.mijnabel.nl.
220 Welcome to the FreeSurf homepage FTP server
ftp> user ******** ********
331 Password required for ********.
230 User ******** logged in. Access restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp: bind: Address already in use
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp>

adrdui@**********:~$ sudo tcpdump host ajduijn.mijnabel.nl
[sudo] password for adrdui:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
#---------------- put index.html-----------------------------------------
13:30:34.482892 IP **********.local.34448 > khaki.qinip.net.ftp: P 43:51
(8) ack 202 win 183 <nop,nop,timestamp 14919001 1904838390>
13:30:34.499765 IP khaki.qinip.net.ftp > **********.local.34448: P 202:222
(20) ack 51 win 49232 <nop,nop,timestamp 1904870040 14919001>
13:30:34.499915 IP **********.local.34448 > khaki.qinip.net.ftp: . ack
222 win 183 <nop,nop,timestamp 14919018 1904870040>
13:30:34.500137 IP **********.local.34448 > khaki.qinip.net.ftp: P 51:75
(24) ack 222 win 183 <nop,nop,timestamp 14919019 1904870040>
13:30:34.523434 IP khaki.qinip.net.ftp > **********.local.34448: P 222:248
(26) ack 75 win 49232 <nop,nop,timestamp 1904870042 14919019>
13:30:34.562972 IP **********.local.34448 > khaki.qinip.net.ftp: . ack
248 win 183 <nop,nop,timestamp 14919082 1904870042>
24 packets captured
26 packets received by filter
0 packets dropped by kernel

adrdui@**********:~$ sudo tcpdump -v host ajduijn.mijnabel.nl
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96
bytes
13:31:47.982406 IP (tos 0x10, ttl 64, id 60501, offset 0, flags [DF],
proto TCP (6), length 77) **********.local.34448 > khaki.qinip.net.ftp:
P, cksum 0x68b6 (correct), 3786868266:3786868291(25) ack 987201499 win
183 <nop,nop,timestamp 14992501 1904870042>
13:31:48.004876 IP (tos 0x0, ttl 57, id 24063, offset 0, flags [DF],
proto TCP (6), length 78) khaki.qinip.net.ftp > **********.local.34448:
P, cksum 0x20de (correct), 1:27(26) ack 25 win 49232 <nop,nop,timestamp
1904877391 14992501>
13:31:48.004955 IP (tos 0x10, ttl 64, id 60502, offset 0, flags [DF],
proto TCP (6), length 52) **********.local.34448 >
khaki.qinip.net.ftp: ., cksum 0xea30 (correct), ack 27 win 183
<nop,nop,timestamp 14992524 1904877391>

adrdui@**********:~$ sudo tcpdump -vv host ajduijn.mijnabel.nl
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96
bytes
13:45:29.723009 IP (tos 0x10, ttl 64, id 60503, offset 0, flags [DF],
proto TCP (6), length 77) **********.local.34448 > khaki.qinip.net.ftp:
P, cksum 0xc4d1 (correct), 3786868291:3786868316(25) ack 987201525 win
183 <nop,nop,timestamp 15814241 1904877391>
13:45:29.745606 IP (tos 0x0, ttl 57, id 50023, offset 0, flags [DF],
proto TCP (6), length 78) khaki.qinip.net.ftp > **********.local.34448:
P, cksum 0x55a9 (correct), 1:27(26) ack 25 win 49232 <nop,nop,timestamp
1904959575 15814241>
13:45:29.745656 IP (tos 0x0, ttl 57, id 50024, offset 0, flags [DF],
proto TCP (6), length 87) khaki.qinip.net.ftp > **********.local.34448:
FP 27:62(35) ack 25 win 49232 <nop,nop,timestamp 1904959575 15814241>
13:45:29.745697 IP (tos 0x10, ttl 64, id 60504, offset 0, flags [DF],
proto TCP (6), length 52) **********.local.34448 >
khaki.qinip.net.ftp: ., cksum 0x1efc (correct), 25:25(0) ack 27 win 183
<nop,nop,timestamp 15814264 1904959575>
13:45:29.784957 IP (tos 0x10, ttl 64, id 60505, offset 0, flags [DF],
proto TCP (6), length 52) **********.local.34448 >
khaki.qinip.net.ftp: ., cksum 0x1eb0 (correct), 25:25(0) ack 63 win 183
<nop,nop,timestamp 15814304 1904959575>

Verder nog met pftp (is passive mode) in debug mode een sessie gedraaid:

adrdui@**********:~$ pftp -n -v -d ajduijn.mijnabel.nl 21
Connected to ajduijn.mijnabel.nl.
220 Welcome to the FreeSurf homepage FTP server
ftp: setsockopt: Bad file descriptor
---> SYST
530 Please login with USER and PASS.
ftp> user ******** ********
---> USER ********
331 Password required for ********.
---> PASS XXXX
230 User ******** logged in. Access restrictions apply.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> put index.html
local: index.html remote: index.html
---> TYPE I
200 Type set to I.
ftp: setsockopt (ignored): Permission denied
---> PASV
227 Entering Passive Mode (62,100,30,165,24,118)
ftp: connect: Connection timed out
ftp> close
---> QUIT
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 363 bytes in 0 transfers.
221-Thank you for using the FTP service on khaki.qinip.net.
221 Goodbye.
ftp> bye

Martijn Lievaart

2008-06-21 17:57:28 UTC

Post by A.J. Duijn

Post by Martijn Lievaart
Active mode is wat je kan verwachten, gaat nooit werken door de NAT.
Kan je een "tcpdump host ajduijn.mijnabel.nl" doen? Ik ben
geinteresseerd in alle pakketten vanaf (en inclusief) de regel met het
PORT commando todat de prompt weer terug komt.

Op de ene terminal met 'sudo tcpdump host ajduijn.mijnabel.nl'
respectievelijk tcpdump -v en tcpdump -vv gedraaid. Op de andere
terminal drie keer ftp (is active mode) 'put index.html' gedraaid.
Tcpdump is voor mij een onbekend programma. Ik begrijp er niets van, ik
zal de documentatie moeten bestuderen.
ajduijn.mijnabel.nl.
220 Welcome to the FreeSurf homepage FTP server ftp> user ********
********
331 Password required for ********.
230 User ******** logged in. Access restrictions apply. Remote system
type is UNIX.
Using binary mode to transfer files.
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp: bind: Address already in use
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp> put index.html
local: index.html remote: index.html
500 Illegal PORT Command
ftp>

(snip tcpdump)

Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten. Maar ja, dat was nu precies het probleem. Ik zou
Wireshark eens starten (capture opstarten met zelfde filter als tcpdump)
en kijken wie die foutmeldingen nu precies geeft. Stuurt de server dat en
print jouw client die foutmelding, of is de foutmelding helemaal van de
client afkomstig? Als je die foutmelding niet letterlijk in de control
stream (dat is de tcp connectie over poort 21) ziet staan, is het de
client, zo wel, is het de server.

Post by A.J. Duijn
ajduijn.mijnabel.nl.

En die heeft ip 62.100.30.165.

Post by A.J. Duijn
227 Entering Passive Mode (62,100,30,165,24,118)

En dat is hetzelfde IP. Dus kunnen we een firewall die confused is door
een PORT commando met een ander IP dan dat van de control stream ook
uitsluiten.

M4

tjoen

2008-06-21 18:30:52 UTC

Post by Martijn Lievaart
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten.

Ik vond nergens een syn, alleen ack. Is dat normaal?
Ik weet niet hoe OP die firewall heeft uitgezet.
Mogelijk is in /var/log/messages wat te zien.

Martijn Lievaart

2008-06-22 09:55:31 UTC

Post by Martijn Lievaart
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten.

Ik vond nergens een syn, alleen ack. Is dat normaal? Ik weet niet hoe OP
die firewall heeft uitgezet. Mogelijk is in /var/log/messages wat te
zien.

Ik zie nergens een ACK die niet bij de control connectie hoort. Kijk ik
weer eens met mijn neus?

M4

tjoen

2008-06-22 13:44:48 UTC

Post by Martijn Lievaart

Post by tjoen

Post by Martijn Lievaart
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten.

Ik vond nergens een syn, alleen ack. Is dat normaal?

Ik zie nergens een ACK die niet bij de control connectie hoort. Kijk ik
weer eens met mijn neus?

Mijn IP kennis is een beetje roestig. Dus niet alles wat er stond

Post by Martijn Lievaart
13:31:47.982406 IP (tos 0x10, ttl 64, id 60501, offset 0, flags [DF],
P, cksum 0x68b6 (correct), 3786868266:3786868291(25) ack 987201499 win
183 <nop,nop,timestamp 14992501 1904870042>

Ik neem aan dat die .ftp: duidt op een control connectie. Is een ack.
Blijkbaar heeft eerder een syn plaatsgevonden.
Er moet dus ergens een < khaki.qinip.net.ftpdata syn komen,
maar die zie ik niet.

Ik kan me herinneren dat bij download.xs4all.nl de data van een willekeurige
poort komt. Heel lastig bij active ftp.

Martijn Lievaart

2008-06-22 19:32:58 UTC

Post by Martijn Lievaart

Post by tjoen

Post by Martijn Lievaart
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten.

Ik vond nergens een syn, alleen ack. Is dat normaal?

Ik zie nergens een ACK die niet bij de control connectie hoort. Kijk ik
weer eens met mijn neus?

Mijn IP kennis is een beetje roestig. Dus niet alles wat er stond is mij

Post by Martijn Lievaart
13:31:47.982406 IP (tos 0x10, ttl 64, id 60501, offset 0, flags [DF],
proto TCP (6), length 77) **********.local.34448 >
khaki.qinip.net.ftp: P, cksum 0x68b6 (correct),
3786868266:3786868291(25) ack 987201499 win 183 <nop,nop,timestamp
14992501 1904870042>

Ik neem aan dat die .ftp: duidt op een control connectie. Is een ack.

Klopt.

Blijkbaar heeft eerder een syn plaatsgevonden. Er moet dus ergens een <

Klopt.

khaki.qinip.net.ftpdata syn komen, maar die zie ik niet.

Yup, met ftpdata als SOURCE poort.

Ik kan me herinneren dat bij download.xs4all.nl de data van een
willekeurige poort komt. Heel lastig bij active ftp.

Dat hoort niet, otoh kan dat ook weer wat nieuws zijn wat ik nog niet
ken. Er is eigenlijk geen goede reden (meer) om data connecties vanaf
poort 20 te doen, dus dat zou best kunnen.

M4

A.J. Duijn

2008-06-21 18:35:57 UTC

Post by Martijn Lievaart
(snip tcpdump)
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten. Maar ja, dat was nu precies het probleem. Ik
zou Wireshark eens starten (capture opstarten met zelfde filter als
tcpdump) en kijken wie die foutmeldingen nu precies geeft. Stuurt de
server dat en print jouw client die foutmelding, of is de foutmelding
helemaal van de client afkomstig? Als je die foutmelding niet letterlijk
in de control stream (dat is de tcp connectie over poort 21) ziet staan,
is het de client, zo wel, is het de server.

Post by A.J. Duijn
ajduijn.mijnabel.nl.

En die heeft ip 62.100.30.165.

Post by A.J. Duijn
227 Entering Passive Mode (62,100,30,165,24,118)

En dat is hetzelfde IP. Dus kunnen we een firewall die confused is door
een PORT commando met een ander IP dan dat van de control stream ook
uitsluiten.

Ga ik doen. Ben nog iets verder gekomen met File Zilla. Ik kan met File
Zilla nu een lege index.html file op de server plaatsen. Die kan ik er
dan met ftp weer afhalen. Dit heeft in de browser tot effect dat de
'Index of' verdwijnt en weer terug komt. Maar telkens foutmeldingen over
data transfers.
/Of topic/ Heb nog meer te melden, maar ga eerst even voetbal kijken. Ik
ga er morgen weer verder. /Of topic/

Ximinez

2008-06-22 12:13:20 UTC

Post by A.J. Duijn

Post by Martijn Lievaart
(snip tcpdump)
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten. Maar ja, dat was nu precies het probleem. Ik
zou Wireshark eens starten (capture opstarten met zelfde filter als
tcpdump) en kijken wie die foutmeldingen nu precies geeft. Stuurt de
server dat en print jouw client die foutmelding, of is de foutmelding
helemaal van de client afkomstig? Als je die foutmelding niet letterlijk
in de control stream (dat is de tcp connectie over poort 21) ziet staan,
is het de client, zo wel, is het de server.

Post by A.J. Duijn
ajduijn.mijnabel.nl.

En die heeft ip 62.100.30.165.

Post by A.J. Duijn
227 Entering Passive Mode (62,100,30,165,24,118)

En dat is hetzelfde IP. Dus kunnen we een firewall die confused is door
een PORT commando met een ander IP dan dat van de control stream ook
uitsluiten.

Ga ik doen. Ben nog iets verder gekomen met File Zilla. Ik kan met File
Zilla nu een lege index.html file op de server plaatsen. Die kan ik er
dan met ftp weer afhalen. Dit heeft in de browser tot effect dat de
'Index of' verdwijnt en weer terug komt. Maar telkens foutmeldingen over
data transfers.
/Of topic/ Heb nog meer te melden, maar ga eerst even voetbal kijken. Ik
ga er morgen weer verder. /Of topic/

Wat een gedoe he? Heb je er wel eens over gedacht om sftp in plaats van
ftp te gebruiken? Werkt gewoon over een ssh connectie dus geen problemen
met NAT of firewalls. Een FTP protocol is een aftands onding.

Ik gebruik het met scponly, dan kun je de hele boel chroot-en en
gebruikers opsluiten in een tree. Het enige nadeel is dat sftp geen
behoorlijke logs bijhoudt tenzij je een logging patch toepast en daar
ben ink weer eens te lui voor.

X.

X.

A.J. Duijn

2008-06-22 14:59:55 UTC

Post by Ximinez
Wat een gedoe he? Heb je er wel eens over gedacht om sftp in plaats van
ftp te gebruiken? Werkt gewoon over een ssh connectie dus geen problemen
met NAT of firewalls. Een FTP protocol is een aftands onding.

Ja, ik heb sftp gedraaid, maar dan heb je aan de andere kant een sftp-
server nodig. Die draait daar niet. Ik kan nog wel meer protocollen
verzinnen die geen problemen opleveren, zoals bittorrent. Daarmee is dit
operating system waarmee ik draai in twee uur door dat oranje kastje
komen aanwaaien.

Post by Ximinez
Ik gebruik het met scponly, dan kun je de hele boel chroot-en en
gebruikers opsluiten in een tree. Het enige nadeel is dat sftp geen
behoorlijke logs bijhoudt tenzij je een logging patch toepast en daar
ben ik weer eens te lui voor.

Watte? De bomen met wortel en al eruit trekken? Ik begrijp niets van die
alinea.

Ximinez

2008-06-22 15:39:55 UTC

Post by A.J. Duijn

Post by Ximinez
Wat een gedoe he? Heb je er wel eens over gedacht om sftp in plaats van
ftp te gebruiken? Werkt gewoon over een ssh connectie dus geen problemen
met NAT of firewalls. Een FTP protocol is een aftands onding.

Ja, ik heb sftp gedraaid, maar dan heb je aan de andere kant een sftp-
server nodig. Die draait daar niet. Ik kan nog wel meer protocollen
verzinnen die geen problemen opleveren, zoals bittorrent. Daarmee is dit
operating system waarmee ik draai in twee uur door dat oranje kastje
komen aanwaaien.

Post by Ximinez
Ik gebruik het met scponly, dan kun je de hele boel chroot-en en
gebruikers opsluiten in een tree. Het enige nadeel is dat sftp geen
behoorlijke logs bijhoudt tenzij je een logging patch toepast en daar
ben ik weer eens te lui voor.

Watte? De bomen met wortel en al eruit trekken? Ik begrijp niets van die
alinea.

Die standaard sftp server van ssh geeft je gebruikers toegang tot het
hele filesystem en ze kunnen ook nog eens 'gewoon' met ssh inloggen. Met
die scponly spullen kun je beide zaken beperken. Gebruikers kunnen
alleen via sftp naar binnen en dan alleen maar bij /data/sftp/pub o.i.d.

X.

A.J. Duijn

2008-06-22 18:02:16 UTC

Post by Ximinez
Die standaard sftp server van ssh geeft je gebruikers toegang tot het
hele filesystem en ze kunnen ook nog eens 'gewoon' met ssh inloggen. Met
die scponly spullen kun je beide zaken beperken. Gebruikers kunnen
alleen via sftp naar binnen en dan alleen maar bij /data/sftp/pub o.i.d.

OK, je bekijkt het van de serverkant, maar ik zit aan de client kant.
Maar als je het van de serverkant bekijkt:
Ik krijg een melding:

FTP Response: 230 User ******** logged in. Access restrictions apply.

Aan wat voor 'restrictions' moet ik denken? Er wordt ook gemeld dat het
om een Unix L8 systeem gaat. Is dat een Linux systeem?
Is dit een ftp-server zoals die in mijn eigen Linux repository te vinden
is?

Dick Hoogendijk

2008-06-22 19:40:33 UTC

Post by A.J. Duijn
FTP Response: 230 User ******** logged in. Access restrictions apply.

Wat is je probleem dan? Je bent ingelogd en kan aan het werk. Access
restrictions is niets meer dan een melding dat je als gewone gebruiker
restricties hebt die voor anderen anders kunnen zijn. Dat geldt ook als
je inlogt op je linux masjien maar die meldt dat niet ;)

--
Dick Hoogendijk -- PGP/GnuPG key: 01D2433D
++ http://nagual.nl/ | SunOS 10u5 05/08 ++

Ximinez

2008-06-23 05:38:35 UTC

Post by A.J. Duijn

Post by Ximinez
Die standaard sftp server van ssh geeft je gebruikers toegang tot het
hele filesystem en ze kunnen ook nog eens 'gewoon' met ssh inloggen. Met
die scponly spullen kun je beide zaken beperken. Gebruikers kunnen
alleen via sftp naar binnen en dan alleen maar bij /data/sftp/pub o.i.d.

OK, je bekijkt het van de serverkant, maar ik zit aan de client kant.

Was me inderdaad even ontschoten.

Post by A.J. Duijn
FTP Response: 230 User ******** logged in. Access restrictions apply.
Aan wat voor 'restrictions' moet ik denken? Er wordt ook gemeld dat het
om een Unix L8 systeem gaat. Is dat een Linux systeem?
Is dit een ftp-server zoals die in mijn eigen Linux repository te vinden
is?

Access restrictions betekent volgens mij dat jouw user class bepaalde
beperkingen heeft, max aantal gebruikers ingelogd e.d. Je moet wel
gewoon 'ls' kunnen gebruiken.

Dat dat niet lukt duidt er gewoon op dat de data connectie niet tot
stand komt vanwege firewall/nat redenen.

Dat "Unix L8" valt niet veel over te vinden, wat gegoogle levert dit op:

"We should note that the FTP server reported back as a Unix L8-type
server, confirming the use of some form of Unix/XENIX as the imbedded NOS."

http://findarticles.com/p/articles/mi_m0FOX/is_13_5/ai_64776069/pg_2

X.

A.J. Duijn

2008-06-23 17:00:19 UTC

Post by Ximinez
"We should note that the FTP server reported back as a Unix L8-type
server, confirming the use of some form of Unix/XENIX as the imbedded NOS."

Het slaat op de manier van data-overdracht. De 8 staat voor 8 bits in
tegenstelling tot 7 bits bij ASCII overdracht. In Unix worden regels
gescheiden door CR (hex 0D), carrige return. Bij ASCII overdracht door
CR,LF (hex OD,OA), line feed. De dataoverdracht kan 'Unix L8' zijn of
'ASCII'. Het duurt even voor bij mij het kwartje valt. Het zegt niets
over het operating system aan de andere kant.

I'm pretty sure that's referring to the directory listing type, and not
the operating system. Most FTP servers spit out a unix directory listing
because that's what most clients expect.

The "unix type: l8" is taken by a lot of people to mean the LIST reeply
type, and the length of a byte, myself included - it's only meant to be
human readable, not parsed for anything

http://www.webmasterworld.com/forum40/932.htm

215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.

http://www.aesir.nl/active_vs_passive_ftp.html

Ximinez

2008-06-23 17:39:57 UTC

Post by A.J. Duijn

Post by Ximinez
"We should note that the FTP server reported back as a Unix L8-type
server, confirming the use of some form of Unix/XENIX as the imbedded NOS."

Het slaat op de manier van data-overdracht. De 8 staat voor 8 bits in
tegenstelling tot 7 bits bij ASCII overdracht. In Unix worden regels
gescheiden door CR (hex 0D), carrige return. Bij ASCII overdracht door
CR,LF (hex OD,OA), line feed. De dataoverdracht kan 'Unix L8' zijn of
'ASCII'. Het duurt even voor bij mij het kwartje valt. Het zegt niets
over het operating system aan de andere kant.
I'm pretty sure that's referring to the directory listing type, and not
the operating system. Most FTP servers spit out a unix directory listing
because that's what most clients expect.
The "unix type: l8" is taken by a lot of people to mean the LIST reeply
type, and the length of a byte, myself included - it's only meant to be
human readable, not parsed for anything
http://www.webmasterworld.com/forum40/932.htm
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
http://www.aesir.nl/active_vs_passive_ftp.html

Een dag niks niks geleerd.... ;)

X.

Dick Streefland

2008-06-24 16:29:16 UTC

"A.J. Duijn" <***@hoorn.nh.invalid> wrote:
| Het slaat op de manier van data-overdracht. De 8 staat voor 8 bits in
| tegenstelling tot 7 bits bij ASCII overdracht. In Unix worden regels
| gescheiden door CR (hex 0D), carrige return.

Nee, door LF (hex 0A).

--
Dick Streefland //// Altium BV
***@altium.nl (@ @) http://www.altium.com
--------------------------------oOO--(_)--OOo---------------------------

A.J. Duijn

2008-06-24 19:52:02 UTC

Post by Dick Streefland
Nee, door LF (hex 0A).

Je hebt gelijk. Op OS9 was het CR en op Unix LF. Alweer zo'n 20 jaar
geleden dat ik daar mee bezig was!

A.J. Duijn

2008-06-22 13:30:11 UTC

Post by Martijn Lievaart
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten. Maar ja, dat was nu precies het probleem. Ik
zou Wireshark eens starten (capture opstarten met zelfde filter als
tcpdump) en kijken wie die foutmeldingen nu precies geeft. Stuurt de
server dat en print jouw client die foutmelding, of is de foutmelding
helemaal van de client afkomstig? Als je die foutmelding niet letterlijk
in de control stream (dat is de tcp connectie over poort 21) ziet staan,
is het de client, zo wel, is het de server.

Wireshark is voor mij een onbekend programma. Ik heb het geistalleerd
maar het werkt niet omdat het in usermode draait. Daardoor krijg ik geen
interfaces. Om een X-Windows programma onder root te draaien voel ik niet
voor. Daarom tshark geinstalleerd en daarme gedraaid. Die snapte ook het
filter dat je aangaf tenminste.
In terminal tshark gedraaid. En FileZilla in de meest optimale (active)
configuratie die ik kon vinden tot nu toe. In de 'network configuration
wizard' staat ergens aan het einde een optie die het (dynamische) WAN-
address van de IAD zou moeten ophalen. Die werkt niet want de website
retourneert 127.0.0.1: het 'loopback interface' address. Maar met behulp
van Traceroute in Gnomemenu->System->Administration->Network Tools kan ik
ongeveer het adres achterhalen (89.220.224.1). Niet precies want als dit
gebruik krijg ik een foutmeling in de 'network configuration wizard' die
mij het goede adres dan verklapt (89.220.236.161).
Er was nog een poster die SYN's wilde zien: hier zijn ze dan.
En op de vraag: komt de melding "Can't build data connection: Connection
refused" van de client kant of van de serverkant is het antwoord: van de
serverkant.

Ik heb ook nog de www2ftp website geprobeerd. Maar daarmee krijg ik geen
toegang tot de ftp-server. De username en password zijn kennelijk alleen
geldig op het netwerkdeel waarmee ik toegang tot internet krijg. Die
website zit in Duitsland.

De vraag blijft is het mogelijk deze dataconnecties op te bouwen en hoe
moet dat dan?

adrdui@**********:~$ sudo tshark host ajduijn.mijnabel.nl
[sudo] password for adrdui:
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
# ------------------------------------------------------reconnect
----------------------------------------------------
0.000000 172.19.3.2 -> 62.100.30.165 TCP 43356 > ftp [FIN, ACK] Seq=1
Ack=1 Win=183 Len=0 TSV=6013461 TSER=1913697902
0.016790 62.100.30.165 -> 172.19.3.2 TCP ftp > 43356 [ACK] Seq=1
Ack=2 Win=49232 Len=0 TSV=1913779664 TSER=6013461
0.017534 62.100.30.165 -> 172.19.3.2 FTP Response: 221 You could at
least say goodbye.
0.017572 172.19.3.2 -> 62.100.30.165 TCP 43356 > ftp [RST] Seq=2
Win=0 Len=0
0.017908 62.100.30.165 -> 172.19.3.2 TCP ftp > 43356 [FIN, ACK]
Seq=38 Ack=2 Win=49232 Len=0 TSV=1913779664 TSER=6013461
0.017924 172.19.3.2 -> 62.100.30.165 TCP 43356 > ftp [RST] Seq=2
Win=0 Len=0
0.154839 172.19.3.2 -> 62.100.30.165 TCP 51734 > ftp [SYN] Seq=0
Win=5840 Len=0 MSS=1460 TSV=6013616 TSER=0 WS=5
0.178910 62.100.30.165 -> 172.19.3.2 TCP ftp > 51734 [SYN, ACK] Seq=0
Ack=1 Win=49232 Len=0 TSV=1913779680 TSER=6013616 MSS=1460 WS=0
0.178978 172.19.3.2 -> 62.100.30.165 TCP 51734 > ftp [ACK] Seq=1
Ack=1 Win=5856 Len=0 TSV=6013640 TSER=1913779680
0.211953 62.100.30.165 -> 172.19.3.2 FTP Response: 220 Welcome to the
FreeSurf homepage FTP server
0.212025 172.19.3.2 -> 62.100.30.165 TCP 51734 > ftp [ACK] Seq=1
Ack=50 Win=5856 Len=0 TSV=6013673 TSER=1913779683
0.231660 172.19.3.2 -> 62.100.30.165 FTP Request: USER ********
0.248626 62.100.30.165 -> 172.19.3.2 TCP ftp > 51734 [ACK] Seq=50
Ack=16 Win=49232 Len=0 TSV=1913779687 TSER=6013693
0.250579 62.100.30.165 -> 172.19.3.2 FTP Response: 331 Password
required for ********.
0.261554 172.19.3.2 -> 62.100.30.165 FTP Request: PASS ********
0.279020 62.100.30.165 -> 172.19.3.2 TCP ftp > 51734 [ACK] Seq=87
Ack=31 Win=49232 Len=0 TSV=1913779690 TSER=6013723
0.279415 62.100.30.165 -> 172.19.3.2 FTP Response: 230 User ********
logged in. Access restrictions apply.
0.289690 172.19.3.2 -> 62.100.30.165 FTP Request: PWD
0.306768 62.100.30.165 -> 172.19.3.2 FTP Response: 257 "/" is current
directory.
0.310489 172.19.3.2 -> 62.100.30.165 FTP Request: TYPE I
0.327681 62.100.30.165 -> 172.19.3.2 FTP Response: 200 Type set to I.
0.328076 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,199,221
0.345444 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.
0.345745 172.19.3.2 -> 62.100.30.165 FTP Request: LIST
0.380927 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.
0.420173 172.19.3.2 -> 62.100.30.165 TCP 51734 > ftp [ACK] Seq=79
Ack=280 Win=5856 Len=0 TSV=6013882 TSER=1913779700
# ------------------------------------------------- upload
index.html-------------------------------------------------------
327.209642 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [SYN] Seq=0
Win=5840 Len=0 MSS=1460 TSV=6340671 TSER=0 WS=5
327.226470 62.100.30.165 -> 172.19.3.2 TCP ftp > 41039 [SYN, ACK] Seq=0
Ack=1 Win=49232 Len=0 TSV=1913812389 TSER=6340671 MSS=1460 WS=0
327.226547 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [ACK] Seq=1
Ack=1 Win=5856 Len=0 TSV=6340688 TSER=1913812389
327.259482 62.100.30.165 -> 172.19.3.2 FTP Response: 220 Welcome to the
FreeSurf homepage FTP server
327.259544 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [ACK] Seq=1
Ack=50 Win=5856 Len=0 TSV=6340721 TSER=1913812392
327.259873 172.19.3.2 -> 62.100.30.165 FTP Request: USER ********
327.277454 62.100.30.165 -> 172.19.3.2 TCP ftp > 41039 [ACK] Seq=50
Ack=16 Win=49232 Len=0 TSV=1913812394 TSER=6340721
327.279364 62.100.30.165 -> 172.19.3.2 FTP Response: 331 Password
required for ********.
327.280071 172.19.3.2 -> 62.100.30.165 FTP Request: PASS ********
327.296425 62.100.30.165 -> 172.19.3.2 TCP ftp > 41039 [ACK] Seq=87
Ack=31 Win=49232 Len=0 TSV=1913812396 TSER=6340741
327.297668 62.100.30.165 -> 172.19.3.2 FTP Response: 230 User ********
logged in. Access restrictions apply.
327.301290 172.19.3.2 -> 62.100.30.165 FTP Request: CWD /
327.318625 62.100.30.165 -> 172.19.3.2 FTP Response: 250 CWD command
successful.
327.323660 172.19.3.2 -> 62.100.30.165 FTP Request: PWD
327.340542 62.100.30.165 -> 172.19.3.2 FTP Response: 257 "/" is current
directory.
327.341081 172.19.3.2 -> 62.100.30.165 FTP Request: TYPE I
327.358823 62.100.30.165 -> 172.19.3.2 FTP Response: 200 Type set to I.
327.361224 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,234,30
327.397292 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.
327.397677 172.19.3.2 -> 62.100.30.165 FTP Request: LIST
327.414427 62.100.30.165 -> 172.19.3.2 TCP ftp > 41039 [ACK] Seq=255
Ack=85 Win=49232 Len=0 TSV=1913812408 TSER=6340859
327.432178 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.
# ------------------------------------------------- upload
index.html-------------------------------------------------------
327.432642 172.19.3.2 -> 62.100.30.165 FTP Request: SIZE index.html
327.449672 62.100.30.165 -> 172.19.3.2 FTP Response: 550 index.html:
not a plain file.
327.450525 172.19.3.2 -> 62.100.30.165 FTP Request: MDTM index.html
327.467917 62.100.30.165 -> 172.19.3.2 FTP Response: 550 index.html: No
such file or directory.
327.470363 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,198,36
327.487356 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.
327.487794 172.19.3.2 -> 62.100.30.165 FTP Request: STOR index.html
327.522107 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.
327.523833 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,182,82
327.541576 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.
327.547920 172.19.3.2 -> 62.100.30.165 FTP Request: LIST
327.584676 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.
# ---------------------------------------------- overwrite
index.html-------------------------------------------------------
327.585137 172.19.3.2 -> 62.100.30.165 FTP Request: SIZE index.html
327.602407 62.100.30.165 -> 172.19.3.2 FTP Response: 213 0
327.603742 172.19.3.2 -> 62.100.30.165 FTP Request: MDTM index.html
327.621130 62.100.30.165 -> 172.19.3.2 FTP Response: 213 20080622122059
327.661193 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [ACK] Seq=232
Ack=583 Win=5856 Len=0 TSV=6341123 TSER=1913812428
333.925431 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,189,142
333.942766 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.
333.942845 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [ACK] Seq=261
Ack=613 Win=5856 Len=0 TSV=6347404 TSER=1913813060
334.006587 172.19.3.2 -> 62.100.30.165 FTP Request: STOR index.html
334.043762 62.100.30.165 -> 172.19.3.2 TCP ftp > 41039 [ACK] Seq=613
Ack=278 Win=49232 Len=0 TSV=1913813071 TSER=6347468
334.053627 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.
334.053680 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [ACK] Seq=278
Ack=667 Win=5856 Len=0 TSV=6347515 TSER=1913813072
334.055344 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,195,15
334.072588 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.
334.096097 172.19.3.2 -> 62.100.30.165 FTP Request: LIST
334.133679 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.
334.134123 172.19.3.2 -> 62.100.30.165 FTP Request: SIZE index.html
334.151429 62.100.30.165 -> 172.19.3.2 FTP Response: 213 0
334.151861 172.19.3.2 -> 62.100.30.165 FTP Request: MDTM index.html
334.169427 62.100.30.165 -> 172.19.3.2 FTP Response: 213 20080622122106
334.209184 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [ACK] Seq=346
Ack=778 Win=5856 Len=0 TSV=6347671 TSER=1913813083
365.837318 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [FIN, ACK]
Seq=346 Ack=778 Win=5856 Len=0 TSV=6379299 TSER=1913813083
365.853407 62.100.30.165 -> 172.19.3.2 TCP ftp > 41039 [ACK] Seq=778
Ack=347 Win=49232 Len=0 TSV=1913816252 TSER=6379299
365.854383 62.100.30.165 -> 172.19.3.2 FTP Response: 221 You could at
least say goodbye.
365.854407 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [RST] Seq=347
Win=0 Len=0
365.854903 62.100.30.165 -> 172.19.3.2 TCP ftp > 41039 [FIN, ACK]
Seq=815 Ack=347 Win=49232 Len=0 TSV=1913816252 TSER=6379299
365.854911 172.19.3.2 -> 62.100.30.165 TCP 41039 > ftp [RST] Seq=347
Win=0 Len=0

tjoen

2008-06-22 18:05:40 UTC

A.J. Duijn wrote:
...

Post by A.J. Duijn
0.154839 172.19.3.2 -> 62.100.30.165 TCP 51734 > ftp [SYN] Seq=0
Win=5840 Len=0 MSS=1460 TSV=6013616 TSER=0 WS=5
0.178910 62.100.30.165 -> 172.19.3.2 TCP ftp > 51734 [SYN, ACK] Seq=0
Ack=1 Win=49232 Len=0 TSV=1913779680 TSER=6013616 MSS=1460 WS=0
0.178978 172.19.3.2 -> 62.100.30.165 TCP 51734 > ftp [ACK] Seq=1
Ack=1 Win=5856 Len=0 TSV=6013640 TSER=1913779680
0.211953 62.100.30.165 -> 172.19.3.2 FTP Response: 220 Welcome to the
FreeSurf homepage FTP server
0.212025 172.19.3.2 -> 62.100.30.165 TCP 51734 > ftp [ACK] Seq=1
Ack=50 Win=5856 Len=0 TSV=6013673 TSER=1913779683
0.231660 172.19.3.2 -> 62.100.30.165 FTP Request: USER ********
0.248626 62.100.30.165 -> 172.19.3.2 TCP ftp > 51734 [ACK] Seq=50
Ack=16 Win=49232 Len=0 TSV=1913779687 TSER=6013693
0.250579 62.100.30.165 -> 172.19.3.2 FTP Response: 331 Password
required for ********.
0.261554 172.19.3.2 -> 62.100.30.165 FTP Request: PASS ********
0.279020 62.100.30.165 -> 172.19.3.2 TCP ftp > 51734 [ACK] Seq=87
Ack=31 Win=49232 Len=0 TSV=1913779690 TSER=6013723
0.279415 62.100.30.165 -> 172.19.3.2 FTP Response: 230 User ********
logged in. Access restrictions apply.
0.289690 172.19.3.2 -> 62.100.30.165 FTP Request: PWD
0.306768 62.100.30.165 -> 172.19.3.2 FTP Response: 257 "/" is current
directory.
0.310489 172.19.3.2 -> 62.100.30.165 FTP Request: TYPE I
0.327681 62.100.30.165 -> 172.19.3.2 FTP Response: 200 Type set to I.
0.328076 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,199,221

Richard heeft gescherven wat die laatste twee cijfers betekenen.

Post by A.J. Duijn
0.345444 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.

Ik dacht dat dat active mode betekent.

Post by A.J. Duijn
0.345745 172.19.3.2 -> 62.100.30.165 FTP Request: LIST
0.380927 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

En hiet is [SYN] dus ergens tegengehouden

tjoen

2008-06-22 18:48:56 UTC

Post by tjoen

Post by A.J. Duijn
0.310489 172.19.3.2 -> 62.100.30.165 FTP Request: TYPE I
0.327681 62.100.30.165 -> 172.19.3.2 FTP Response: 200 Type set to I.
0.328076 172.19.3.2 -> 62.100.30.165 FTP Request: PORT
89,220,236,161,199,221

Richard heeft gescherven wat die laatste twee cijfers betekenen.

Post by A.J. Duijn
0.345444 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT
command successful.

Ik dacht dat dat active mode betekent.

Misschien vergis ik me:

ftp> pas
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwx---r-x 4 74606 1001 4096 May 30 11:48 public_html
226 Directory send OK.
ftp> pas
Passive mode on.
ftp> ls
227 Entering Passive Mode (85,17,251,151,110,120)
150 Here comes the directory listing.
drwx---r-x 4 74606 1001 4096 May 30 11:48 public_html
226 Directory send OK.

Het is mogelijk omgekeerd. Die cijfers duiden mogelijk dus passive mode aan.
Je kan dus beter testen met command line ftp.
En passive mode gaf mogelijk problemen.
Active mode dus nog niet getest.

Martijn Lievaart

2008-06-22 19:30:25 UTC

Post by A.J. Duijn
327.522107 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Heeeeh, dat lijkt wel active ftp. Is ook een andere foutmelding dan je
eerder gaf, gaf de client bij deze sessie nog steeds

Post by A.J. Duijn
500 Illegal PORT Command
ftp: bind: Address already in use

?

M4

A.J. Duijn

2008-06-22 21:32:56 UTC

Post by Martijn Lievaart

Post by A.J. Duijn
327.522107 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Heeeeh, dat lijkt wel active ftp. Is ook een andere foutmelding dan je
eerder gaf, gaf de client bij deze sessie nog steeds

Post by A.J. Duijn
500 Illegal PORT Command
ftp: bind: Address already in use

?

Nee, die foutmelding hoort bij command line ftp (active). En de eerst
vermelde foutmelding hoort bij FileZilla (active).
Het verschil kan verklaard worden doordat ik FileZille heb kunnen
opvoeden met mijn WAN-adres. Het IP-address van de IAD aan de internet
kant. Dat kan misschien met command line ftp ook wel, maar ik weet niet
hoe dat moet, daar heb ik niet naar gezocht.

De vraag is nu /waar/ wordt de connection gerefused? Kennelijk aan de
server-kant, want het is een response. 'Mag' de server het niet, of 'kan'
de server het niet? En als de server het niet 'kan', kan ik het dan nog
mogelijk maken?

FTP Response codes (defined in RFC 959)
FTP response codes are 3 digits, with the first 2 digits giving specific
information on the type of response, and the final digit revealing the
exact nature of the code.
421 Service not available, closing control connection.
This may be a reply to any command if the service knows it must
shut down.
*425 Can't open data connection.*
426 Connection closed; transfer aborted.

4yz Transient Negative Completion reply

The command was not accepted and the requested action did not take place,
but the error condition is temporary and the action may be requested
again. The user should return to the beginning of the command sequence,
if any. It is difficult to assign a meaning to "transient", particularly
when two distinct sites (Server- and User-processes) have to agree on the
interpretation. Each reply in the 4yz category might have a slightly
different time value, but the intent is that the user-process is
encouraged to try again. A rule of thumb in determining if a reply fits
into the 4yz or the 5yz (Permanent Negative) category is that replies are
4yz if the commands can be repeated without any change in command form or
in properties of the User or Server (e.g., the command is spelled the
same with the same arguments used; the user does not change his file
access or user name; the server does not put up a new implementation.)

x2z Connections - Replies referring to the control and data
connections.

http://www.altools.com/image/support/alftp/ALFTP_4x/
FTP_response_codes_rfc_959_messages.htm

http://www.ietf.org/rfc/rfc959.txt

Martijn Lievaart

2008-06-23 06:49:48 UTC

Post by A.J. Duijn

Post by Martijn Lievaart

Post by A.J. Duijn
327.522107 62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Heeeeh, dat lijkt wel active ftp. Is ook een andere foutmelding dan je
eerder gaf, gaf de client bij deze sessie nog steeds

Post by A.J. Duijn
500 Illegal PORT Command
ftp: bind: Address already in use

?

Nee, die foutmelding hoort bij command line ftp (active). En de eerst
vermelde foutmelding hoort bij FileZilla (active). Het verschil kan
verklaard worden doordat ik FileZille heb kunnen opvoeden met mijn
WAN-adres. Het IP-address van de IAD aan de internet kant. Dat kan
misschien met command line ftp ook wel, maar ik weet niet hoe dat moet,
daar heb ik niet naar gezocht.

Active gaat niet werken, tenzij jouw firewall dat actief (pun not
intended) ondersteund, in welk geval je niets in je client hoeft in te
stellen.

Je moet echt verder kijken naar passive. Kijk met tshark op de client of
er na het port commando een SYN naar buiten gaat, of dat de client direct
een foutmelding geeft. In het eerste geval zit het probleem (voorlopig)
buiten de client, in het tweede geval is het probleem met de configuratie
van de client.

M4

A.J. Duijn

2008-06-23 13:20:12 UTC

Post by Martijn Lievaart
Active gaat niet werken, tenzij jouw firewall dat actief (pun not
intended) ondersteund, in welk geval je niets in je client hoeft in te
stellen.

De firewall waar ik over geschreven had, was een firewall op Windows-XP.
Het down halen daarvan had geen invloed op het resultaat daar gehad.
Tot voor kort ging ik ervan uit dat er op mijn Linux systeem geen
firewall draaide. Ik heb een search gedaan in de Synaptic Package Manager
op firewall met 'Description and name'. Daarbij kwam naar voren 'ufw'.
Kende ik niet, kende alleen shorewall, en daar had ik naar gekeken. ufw
kan door programma's opgestart worden met een shell-file in /etc/inet.d.
In de configuratiefile staat aangegeven dat ufw niet bij booten wordt
opgestart. Er draaide ook nog een apache2 webserver. Mogelijk start de
webserver de firewall. Echter het downhalen van en de webserver en de
firewall heeft geen invloed op de gevonden resultaten met FileZilla.

Post by Martijn Lievaart
Je moet echt verder kijken naar passive. Kijk met tshark op de client of
er na het port commando een SYN naar buiten gaat, of dat de client
direct een foutmelding geeft. In het eerste geval zit het probleem
(voorlopig) buiten de client, in het tweede geval is het probleem met de
configuratie van de client.

Ik zie helemaal geen port commando in de passive mode, die zie ik alleen
in de active mode.

Een na laatste regel: vvvvvvvvvvvvvvvv
21.151710 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [FIN, ACK] Seq=68
Ack=303 Win=5856 Len=0 TSV=14509407 TSER=1922444753
Is 58366 de server? Waarom stuurt die een FIN? Ik neem aan dat dat einde
betekent. Ik ben nog lang niet klaar!

In terminal tshark gedraaid. FileZilla passive gedraaid. Tevoren mogelijk
draaiende firewall gestopt. Theoretisch is het mogelijk dat de firewall
weer wordt gestart, maar dat lijkt spijkers op laag water zoeken.

adrdui@**********:~$ sudo /etc/init.d/ufw stop
[sudo] password for adrdui:
* Stopping firewall: ufw...
[ OK ]
adrdui@**********:~$ sudo /etc/init.d/ufw stop
* Stopping firewall: ufw...
[ OK ]
adrdui@**********:~$ sudo tshark host ajduijn.mijnabel.nl
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
# --------------------------------------------- connect
-------------------------------------------------------------
0.000000 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [SYN] Seq=0
Win=5840 Len=0 MSS=1460 TSV=14488255 TSER=0 WS=5
0.034937 62.100.30.165 -> 172.19.3.2 TCP ftp > 58366 [SYN, ACK] Seq=0
Ack=1 Win=49232 Len=0 TSV=1922444726 TSER=14488255 MSS=1460 WS=0
0.035014 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [ACK] Seq=1
Ack=1 Win=5856 Len=0 TSV=14488290 TSER=1922444726
0.072568 62.100.30.165 -> 172.19.3.2 FTP Response: 220 Welcome to the
FreeSurf homepage FTP server
0.072627 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [ACK] Seq=1
Ack=50 Win=5856 Len=0 TSV=14488328 TSER=1922444729
0.073190 172.19.3.2 -> 62.100.30.165 FTP Request: USER ********
0.091108 62.100.30.165 -> 172.19.3.2 TCP ftp > 58366 [ACK] Seq=50
Ack=16 Win=49232 Len=0 TSV=1922444731 TSER=14488328
0.092845 62.100.30.165 -> 172.19.3.2 FTP Response: 331 Password
required for ********.
0.095944 172.19.3.2 -> 62.100.30.165 FTP Request: PASS ********
0.116147 62.100.30.165 -> 172.19.3.2 TCP ftp > 58366 [ACK] Seq=87
Ack=31 Win=49232 Len=0 TSV=1922444734 TSER=14488351
0.116969 62.100.30.165 -> 172.19.3.2 FTP Response: 230 User ********
logged in. Access restrictions apply.
0.121763 172.19.3.2 -> 62.100.30.165 FTP Request: SYST
0.139398 62.100.30.165 -> 172.19.3.2 FTP Response: 215 UNIX Type: L8
0.143530 172.19.3.2 -> 62.100.30.165 FTP Request: FEAT
0.161081 62.100.30.165 -> 172.19.3.2 FTP Response: 500 'FEAT':
command not understood.
0.163855 172.19.3.2 -> 62.100.30.165 FTP Request: PWD
0.180791 62.100.30.165 -> 172.19.3.2 FTP Response: 257 "/" is current
directory.
0.220635 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [ACK] Seq=48
Ack=232 Win=5856 Len=0 TSV=14488476 TSER=1922444740
0.226525 172.19.3.2 -> 62.100.30.165 FTP Request: TYPE I
0.243127 62.100.30.165 -> 172.19.3.2 FTP Response: 200 Type set to I.
0.243358 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [ACK] Seq=56
Ack=252 Win=5856 Len=0 TSV=14488498 TSER=1922444747
0.243518 172.19.3.2 -> 62.100.30.165 FTP Request: PASV
0.261848 62.100.30.165 -> 172.19.3.2 FTP Response: 227 Entering
Passive Mode (62,100,30,165,105,115)
0.266348 172.19.3.2 -> 62.100.30.165 TCP 52120 > 26995 [SYN]
Seq=3644169639 Win=5840 Len=0 MSS=1460 TSV=14488521 TSER=0 WS=5
0.266603 172.19.3.2 -> 62.100.30.165 FTP Request: LIST
0.300989 62.100.30.165 -> 172.19.3.2 TCP ftp > 58366 [ACK] Seq=303
Ack=68 Win=49232 Len=0 TSV=1922444753 TSER=14488522
3.265578 172.19.3.2 -> 62.100.30.165 TCP 52120 > 26995 [SYN]
Seq=3644169639 Win=5840 Len=0 MSS=1460 TSV=14491521 TSER=0 WS=5
9.265578 172.19.3.2 -> 62.100.30.165 TCP 52120 > 26995 [SYN]
Seq=3644169639 Win=5840 Len=0 MSS=1460 TSV=14497521 TSER=0 WS=5
21.151710 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [FIN, ACK]
Seq=68 Ack=303 Win=5856 Len=0 TSV=14509407 TSER=1922444753
21.167739 62.100.30.165 -> 172.19.3.2 TCP ftp > 58366 [ACK] Seq=303
Ack=69 Win=49232 Len=0 TSV=1922446839 TSER=14509407

*FileZilla Passive*
Status: Resolving IP-Address for ajduijn.mijnabel.nl
Status: Connecting to 62.100.30.165:21...
Status: Connection established, waiting for welcome message...
Response: 220 Welcome to the FreeSurf homepage FTP server
Command: USER ********
Response: 331 Password required for ********.
Command: PASS ********
Response: 230 User ******** logged in. Access restrictions apply.
Command: SYST
Response: 215 UNIX Type: L8
Command: FEAT
Response: 500 'FEAT': command not understood.
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (62,100,30,165,105,115)
Command: LIST
Error: Connection timed out
Error: Failed to retrieve directory listing

Martijn Lievaart

2008-06-23 17:36:30 UTC

On Mon, 23 Jun 2008 13:20:12 +0000, A.J. Duijn wrote:

[ firewall ]

Doe eens als root een iptables-save. Dat moet er ongeveer zo uit zien:

# Generated by iptables-save v1.3.5 on Mon Jun 23 19:34:29 2008
*filter
:INPUT ACCEPT [33358163:2845635686]
:FORWARD ACCEPT [229989182:84484420321]
:OUTPUT ACCEPT [35574067:4043495285]
COMMIT
# Completed on Mon Jun 23 19:34:29 2008

Getalletjes, versies, datums mogen anders zijn, maar verder moet het
hetzelfde zijn. Dan weet je zeker dat je geen firewall hebt lopen.

(snip)

0.243518 172.19.3.2 -> 62.100.30.165 FTP Request: PASV 0.261848
62.100.30.165 -> 172.19.3.2 FTP Response: 227 Entering
Passive Mode (62,100,30,165,105,115)

Server zegt dat ie luistert voor een data connectie op 62.100.30.165
poort 105*256+115 = 26995

0.266348 172.19.3.2 -> 62.100.30.165 TCP 52120 > 26995 [SYN]
Seq=3644169639 Win=5840 Len=0 MSS=1460 TSV=14488521 TSER=0 WS=5

Jouw client probeert een verbinding op te bouwen...

0.266603 172.19.3.2 -> 62.100.30.165 FTP Request: LIST 0.300989
62.100.30.165 -> 172.19.3.2 TCP ftp > 58366 [ACK] Seq=303
Ack=68 Win=49232 Len=0 TSV=1922444753 TSER=14488522

(ondertussen stuurt jouw client het list commando)

3.265578 172.19.3.2 -> 62.100.30.165 TCP 52120 > 26995 [SYN]
Seq=3644169639 Win=5840 Len=0 MSS=1460 TSV=14491521 TSER=0 WS=5

... en probeert het nog een keer omdat ie geen antwoord krijgt ...

9.265578 172.19.3.2 -> 62.100.30.165 TCP 52120 > 26995 [SYN]
Seq=3644169639 Win=5840 Len=0 MSS=1460 TSV=14497521 TSER=0 WS=5
21.151710 172.19.3.2 -> 62.100.30.165 TCP 58366 > ftp [FIN, ACK]
Seq=68 Ack=303 Win=5856 Len=0 TSV=14509407 TSER=1922444753

En dit is inderdaad vreemd, jouw client sluit het controle kanaal. Maar
dat is waarschijnlijk wel normaal gedrag. Het is ook pas 21 seconden
later.

21.167739 62.100.30.165 -> 172.19.3.2 TCP ftp > 58366 [ACK] Seq=303
Ack=69 Win=49232 Len=0 TSV=1922446839 TSER=14509407

Iets houdt die SYN pakketten tegen, ergens gaan ze verloren. En als ik
het mij goed herinner, zie tshark die pakketten alleen als ze al door de
firewall zijn (en omgekeerd, pakketten van buiten ziet ie voor ze de
firewall bereiken).

Vanaf hier gezien doet jouw client precies wat ie moet doen. Volgende
stap is om wrieshark op de Windows doos te installeren (of op een
laptoppie en dat met een hub (niet switch!) in de juiste verbinding te
zetten) en daar te kijken welke pakketten er in gaan en of die er weer
uit gaan (dus 2x wireshark opstarten 1x op de binnenkomende interface
laten luisteren en 1x op de uitgaande interface).

M4

A.J. Duijn

2008-06-23 19:34:56 UTC

# Generated by iptables-save v1.3.5 on Mon Jun 23 19:34:29 2008 *filter
:INPUT ACCEPT [33358163:2845635686]
:FORWARD ACCEPT [229989182:84484420321]
:OUTPUT ACCEPT [35574067:4043495285]
COMMIT
# Completed on Mon Jun 23 19:34:29 2008
Getalletjes, versies, datums mogen anders zijn, maar verder moet het
hetzelfde zijn. Dan weet je zeker dat je geen firewall hebt lopen.

Dat ziet er bij mij heel anders uit: geen FORWARD ACCEPT als ik het goed
interpreteer. Ik begrijp nog niets van wat het stop commando doet. Het
lijkt wel of er dan alleen maar minder dan meer wordt doorgelaten. En er
staat toch duidelijk een forward accept in die stop-functie. Nog maar
even dieper graven dan.

adrdui@**********:~$ sudo iptables-save
[sudo] password for adrdui:
# Generated by iptables-save v1.3.8 on Mon Jun 23 20:44:40 2008
*filter
:INPUT ACCEPT [4364:1364617]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5190:493519]
COMMIT
# Completed on Mon Jun 23 20:44:40 2008
adrdui@*********:~$ sudo /etc/init.d/ufw stop
[sudo] password for adrdui:
* Stopping firewall: ufw...
[ OK ]
adrdui@*********:~$ sudo iptables-save
# Generated by iptables-save v1.3.8 on Mon Jun 23 21:07:27 2008
*filter
:INPUT ACCEPT [4:496]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5:808]
COMMIT
# Completed on Mon Jun 23 21:07:27 2008

* fragment uit /etc/init.d/ufw *
stop)
log_action_begin_msg "Stopping firewall:" "ufw"
error=""

execs="iptables"
if [ -e "/proc/sys/net/ipv6" ]; then
execs="$execs ip6tables"
fi

for exe in $execs
do
$exe -F || error="yes"
$exe -X || error="yes"
$exe -P INPUT ACCEPT || error="yes"
$exe -P OUTPUT ACCEPT || error="yes"
$exe -P FORWARD ACCEPT || error="yes"
done

if [ "$error" = "yes" ]; then
log_action_end_msg 1
exit 1
else
log_action_end_msg 0
fi
;;

* /usr/share/ufw/user.rules *
*filter
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
### RULES ###
-A ufw-user-input -j RETURN
-A ufw-user-output -j RETURN
-A ufw-user-forward -j RETURN
COMMIT

* /usr/share/ufw/rules.before *
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#

# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines

# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -i lo -j ACCEPT

# connection tracking rules
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# drop INVALID packets
# uncomment to log INVALID packets
#-A ufw-before-input -m conntrack --ctstate INVALID -j LOG --log-prefix
"[UFW BLOCK INVALID]: "
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

# connection tracking for outbound
-A ufw-before-output -p tcp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
-A ufw-before-output -p udp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local

# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j LOG --log-
prefix "[UFW BLOCK NOT-TO-ME]: "

# all other non-local packets are dropped
-A ufw-not-local -j DROP

# allow MULTICAST, be sure the MULTICAST line above is uncommented
-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

* /usr/share/ufw/after.rules *
#
# rules.input-after
#
# Rules that should be run after the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-after-input
# ufw-after-output
# ufw-after-forward
#

# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-after-input - [0:0]
:ufw-after-output - [0:0]
:ufw-after-forward - [0:0]
# End required lines

# don't log noisy services by default
-A ufw-after-input -p udp --dport 137 -j RETURN
-A ufw-after-input -p udp --dport 138 -j RETURN
-A ufw-after-input -p tcp --dport 139 -j RETURN
-A ufw-after-input -p tcp --dport 445 -j RETURN
-A ufw-after-input -p udp --dport 67 -j RETURN
-A ufw-after-input -p udp --dport 68 -j RETURN

# catchall for logging
-A ufw-after-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-
prefix "[UFW BLOCK INPUT]: "
-A ufw-after-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-
prefix "[UFW BLOCK FORWARD]: "

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

Martijn Lievaart

2008-06-23 21:20:11 UTC

Post by A.J. Duijn

# Generated by iptables-save v1.3.5 on Mon Jun 23 19:34:29 2008 *filter
:INPUT ACCEPT [33358163:2845635686]
:FORWARD ACCEPT [229989182:84484420321]
:OUTPUT ACCEPT [35574067:4043495285]
COMMIT
# Completed on Mon Jun 23 19:34:29 2008
Getalletjes, versies, datums mogen anders zijn, maar verder moet het
hetzelfde zijn. Dan weet je zeker dat je geen firewall hebt lopen.

Dat ziet er bij mij heel anders uit: geen FORWARD ACCEPT als ik het goed
interpreteer. Ik begrijp nog niets van wat het stop commando doet. Het
lijkt wel of er dan alleen maar minder dan meer wordt doorgelaten. En er
staat toch duidelijk een forward accept in die stop-functie. Nog maar
even dieper graven dan.
# Generated by iptables-save v1.3.8 on Mon Jun 23 20:44:40 2008
*filter
:INPUT ACCEPT [4364:1364617]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5190:493519]
COMMIT

Ziet er prima uit, op de getalletjes, datum en versie na hetzelfde. Wel
ACCEPT in FORWARD. Die trouwens niet uitmaakt.

De getalletjes zijn het aantal pakketten die die policy gepasseerd zijn.
Aangezien jouw machine niet als router werkt, is [0:0] daar wat je
verwacht.

Post by A.J. Duijn
* Stopping firewall: ufw...
[ OK ]
v1.3.8 on Mon Jun 23 21:07:27 2008 *filter
:INPUT ACCEPT [4:496]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5:808]
COMMIT
# Completed on Mon Jun 23 21:07:27 2008

Firewall was dus al gestopt.

Post by A.J. Duijn
* fragment uit /etc/init.d/ufw *

Yup, das een firewall, maar hij stond uit.

Firewall heb je trouwens niet echt nodig als je achter een natting router
zit (je windows connection sharing).

M4

A.J. Duijn

2008-06-24 10:29:52 UTC

Post by Martijn Lievaart
Firewall was dus al gestopt.

Als dat zo is kan de oorzaak van de problemen niet aan de firewall op de
computer worden toegeschreven.

Dan zou de conclusie moeten zijn dat noch 'passive' noch 'active' werkt.
De oorzaak moet gezocht worden in netwerk en serverconfiguratie, maar
daar ga ik niet over.
De vraag is alleen hoe de ticket beschijving eruit zou moeten zien. Hoe
leg ik het probleem uit. Hoe bewijs ik het beste dat het niet aan de
client-configuratie ligt. En hoe beschijf ik de misdragingen van het
netwerk en ftp-server.

A.J. Duijn

2008-06-23 23:19:13 UTC

Post by A.J. Duijn
Dat ziet er bij mij heel anders uit: geen FORWARD ACCEPT als ik het goed
interpreteer. Ik begrijp nog niets van wat het stop commando doet. Het
lijkt wel of er dan alleen maar minder dan meer wordt doorgelaten. En er
staat toch duidelijk een forward accept in die stop-functie. Nog maar
even dieper graven dan.

Ik heb een kernel-update binnen gekregen. Nu is het resultaat van de stop-
opdracht veranderd.
Kennelijk heeft [0:0] een speciale betekenis, en zal wel zoiets betekenen
als doe niets en laat alles door.
/off topic/ morgen verder /off topic/

***@thompson:~$ iptables-save
***@thompson:~$ sudo iptables-save
[sudo] password for adrdui:
# Generated by iptables-save v1.3.8 on Tue Jun 24 01:07:06 2008
*filter
:INPUT ACCEPT [2194:166240]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2182:111874]
COMMIT
# Completed on Tue Jun 24 01:07:06 2008
***@thompson:~$ sudo /ect/init.d/ufw stop
sudo: /ect/init.d/ufw: command not found
***@thompson:~$ sudo /etc/init.d/ufw stop
* Stopping firewall: ufw...
[ OK ]
***@thompson:~$ sudo iptables-save
# Generated by iptables-save v1.3.8 on Tue Jun 24 01:08:43 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Tue Jun 24 01:08:43 2008
***@thompson:~$

Martijn Lievaart

2008-06-24 06:50:20 UTC

Post by A.J. Duijn

Post by A.J. Duijn
Dat ziet er bij mij heel anders uit: geen FORWARD ACCEPT als ik het
goed interpreteer. Ik begrijp nog niets van wat het stop commando doet.
Het lijkt wel of er dan alleen maar minder dan meer wordt doorgelaten.
En er staat toch duidelijk een forward accept in die stop-functie. Nog
maar even dieper graven dan.

Ik heb een kernel-update binnen gekregen. Nu is het resultaat van de
stop- opdracht veranderd.
Kennelijk heeft [0:0] een speciale betekenis, en zal wel zoiets
betekenen als doe niets en laat alles door.
/off topic/ morgen verder /off topic/

Nee, zoals ik in andere post ook al aangaf, dat zijn de huidige tellers
van het aantal pakketten. Totaal irrelevant in deze context.

M4

A.J. Duijn

2008-06-23 18:32:20 UTC

Post by Martijn Lievaart
Je moet echt verder kijken naar passive. Kijk met tshark op de client
of er na het port commando een SYN naar buiten gaat, of dat de client
direct een foutmelding geeft. In het eerste geval zit het probleem
(voorlopig) buiten de client, in het tweede geval is het probleem met
de configuratie van de client.

Bij router en firewall configuratietest heb ik wel een port command, maar
deze wordt niet gevolgd door een SYN.

adrdui@*********:~$ sudo tshark host probe.filezilla-project.org
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
# ------------------------------ 'FileZilla firewall and router
configuration wizard' test knop ---------------------
0.000000 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [SYN] Seq=0
Win=5840 Len=0 MSS=1460 TSV=9925300 TSER=0 WS=5
0.029449 213.239.222.5 -> 172.19.3.2 TCP ftp > 42268 [SYN, ACK] Seq=0
Ack=1 Win=5792 Len=0 MSS=1460 TSV=130304412 TSER=9925300 WS=7
0.029525 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=1
Ack=1 Win=5856 Len=0 TSV=9925330 TSER=130304412
0.059660 213.239.222.5 -> 172.19.3.2 FTP Response: 220 FZ router and
firewall tester ready
0.059721 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=1
Ack=40 Win=5856 Len=0 TSV=9925360 TSER=130304420
0.087833 213.239.222.5 -> 172.19.3.2 FTP Response:
0.087877 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=1
Ack=42 Win=5856 Len=0 TSV=9925388 TSER=130304427
0.089098 172.19.3.2 -> 213.239.222.5 FTP Request: USER FileZilla
0.118882 213.239.222.5 -> 172.19.3.2 TCP ftp > 42268 [ACK] Seq=42
Ack=17 Win=5888 Len=0 TSV=130304435 TSER=9925389
0.119605 213.239.222.5 -> 172.19.3.2 FTP Response: 331 Give any
password.
0.159327 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=17
Ack=64 Win=5856 Len=0 TSV=9925460 TSER=130304435
0.187853 213.239.222.5 -> 172.19.3.2 FTP Response:
0.187882 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=17
Ack=66 Win=5856 Len=0 TSV=9925488 TSER=130304452
0.189085 172.19.3.2 -> 213.239.222.5 FTP Request: PASS 3.0.7.1
0.217903 213.239.222.5 -> 172.19.3.2 FTP Response: 230 logged on.
0.257327 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=31
Ack=80 Win=5856 Len=0 TSV=9925558 TSER=130304460
0.285895 213.239.222.5 -> 172.19.3.2 FTP Response:
0.286047 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=31
Ack=82 Win=5856 Len=0 TSV=9925586 TSER=130304477
0.287582 172.19.3.2 -> 213.239.222.5 FTP Request: IP 89.220.236.161
ij-cca-cdg-bgb
0.316932 213.239.222.5 -> 172.19.3.2 FTP Response: 200 OK
0.356326 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=65
Ack=88 Win=5856 Len=0 TSV=9925657 TSER=130304485
0.390590 213.239.222.5 -> 172.19.3.2 FTP Response:
0.390744 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=65
Ack=90 Win=5856 Len=0 TSV=9925691 TSER=130304502
0.392055 172.19.3.2 -> 213.239.222.5 FTP Request: PREP 49152
0.420678 213.239.222.5 -> 172.19.3.2 FTP Response: 200 Using port
49152, data token 399310658
0.460331 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=77
Ack=132 Win=5856 Len=0 TSV=9925761 TSER=130304510
0.489642 213.239.222.5 -> 172.19.3.2 FTP Response:
0.489846 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=77
Ack=134 Win=5856 Len=0 TSV=9925790 TSER=130304528
0.491007 172.19.3.2 -> 213.239.222.5 FTP Request: PORT
89,220,236,161,192,0
0.520203 213.239.222.5 -> 172.19.3.2 FTP Response: 200 PORT command
successful
0.559326 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=104
Ack=161 Win=5856 Len=0 TSV=9925860 TSER=130304535
0.587926 213.239.222.5 -> 172.19.3.2 FTP Response:
0.588074 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=104
Ack=163 Win=5856 Len=0 TSV=9925888 TSER=130304552
0.589143 172.19.3.2 -> 213.239.222.5 FTP Request: LIST
0.618975 213.239.222.5 -> 172.19.3.2 FTP Response: 150 opening data
connection
0.647079 213.239.222.5 -> 172.19.3.2 FTP Response:
0.647269 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [ACK] Seq=110
Ack=226 Win=5856 Len=0 TSV=9925947 TSER=130304560
0.652711 172.19.3.2 -> 213.239.222.5 TCP 42268 > ftp [FIN, ACK]
Seq=110 Ack=226 Win=5856 Len=0 TSV=9925953 TSER=130304560
0.680806 213.239.222.5 -> 172.19.3.2 TCP ftp > 42268 [ACK] Seq=226
Ack=111 Win=5888 Len=0 TSV=130304576 TSER=9925953

* FileZilla 'passive': router and firewall test *
Connecting to probe.filezilla-project.org
Response: 220 FZ router and firewall tester ready
USER FileZilla
Response: 331 Give any password.
PASS 3.0.7.1
Response: 230 logged on.
Checking for correct external IP address
IP 89.220.236.161 ij-cca-cdg-bgb
Response: 200 OK
PREP 49152
Response: 200 Using port 49152, data token 399310658
PORT 89,220,236,161,192,0
Response: 200 PORT command successful
LIST
Response: 150 opening data connection
Response: 503 Failure of data connection.
Server sent invalid reply.
Connection closed

Martijn Lievaart

2008-06-23 21:19:08 UTC

Post by A.J. Duijn
* FileZilla 'passive': router and firewall test *

Das volgens mij geen passive maar active wat ik daar zie.

M4

A.J. Duijn

2008-06-24 09:49:47 UTC

Post by Martijn Lievaart
Das volgens mij geen passive maar active wat ik daar zie.

Je hebt gelijk. Ik zal mijn vergissing uitleggen.

In de configuratie wizard doorloop je achtereenvolgende schermen.
Het is helaas niet mogelijk de tekst in die schermen te knippen en
plakken. Ze zijn te lang om over te tikken dus ik vat ze samen.

*Scherm Eerste regel van het scherm Gekozen in het scherm *
1 This wizard will help you
2 Please select the default Passive (recommended)
3 Cofigure passive mode Use the servers external
4 In order to use active mode Use the following IP address
4 Don't ... on local connections
5 Configure port range Use the following port range

In het vierde scherm heb ik niet de eerst keuze gemaakt en dat doet
FileZilla kennelijk besluiten om niet met passive door te gaan maar over
te schakelen naar active. Dit heb ik niet door gehad. Nu je mij er op
wijst zie het. De eerste keuze was:

*In order to use active mode, FileZilla needs to know your external IP
address.*

O Ask your operating system for the external IP address
This only works if you are not behind a router,
else your system would just return your internal address.

Ik heb de tweede keuze gemaakt omdat de toelichting van toepassing was.
Mijn netwerkkaart vormt met de router een LAN met IP adressen in een van
de gereserveerde gebieden. In een van de eerdere posts had ik al
geschreven hoe ik aan het WAN address was gekomen.

Dit maakt duidelijk dat de makers van FileZilla ervan overtuigd zijn dat
over een router 'passive' niet haalbaar is. En nog een poging willen
wagen om het met 'active' te proberen. Hetgeen bijna lukt, op de data-
stroom na. De data-stroom kan gehinderd worden door de firewalls die van
server naar client worden tegen gekomen. Inmiddels is duidelijk geworden
dat op het moment van de test er op mijn systeem een firewall draaide
waar ik geen weet van had. En bovendien alleen geconfigureerd lijkt te
zijn voor het doorlaten van DHCP. Maar er kan ook nog een firewall
draaien in de IAD. Ik denk dat ik nu eerst moet proberen de firewall op
mijn systeem op te voeden.

Als ik het goed begrepen heb moet ik inkomende poorten 20,21 en 49152 t/m
65534 (IANA-reeks) vrijgeven. Moet nog uitzoeken waar en hoe ik dat invul.

Martijn Lievaart

2008-06-25 06:40:12 UTC

Post by A.J. Duijn
Dit maakt duidelijk dat de makers van FileZilla ervan overtuigd zijn dat
over een router 'passive' niet haalbaar is. En nog een poging willen
wagen om het met 'active' te proberen. Hetgeen bijna lukt, op de data-
stroom na. De data-stroom kan gehinderd worden door de firewalls die van
server naar client worden tegen gekomen. Inmiddels is duidelijk geworden
dat op het moment van de test er op mijn systeem een firewall draaide
waar ik geen weet van had. En bovendien alleen geconfigureerd lijkt te
zijn voor het doorlaten van DHCP. Maar er kan ook nog een firewall
draaien in de IAD. Ik denk dat ik nu eerst moet proberen de firewall op
mijn systeem op te voeden.
Als ik het goed begrepen heb moet ik inkomende poorten 20,21 en 49152
t/m 65534 (IANA-reeks) vrijgeven. Moet nog uitzoeken waar en hoe ik dat
invul.

Bespaar je de moeite. Ik snap niet dat dit zo prominent in FileZilla
aanwezig is, maar dit gaat alleen op bij een 1-op-1 NAT, niet bij
Internet connection sharing. Of als je expliciet de juiste poorten
forward.

Ovverigens twee dingetjes:
1) Die poort 20 wordt gebruikt als source poort, niet als destination
poort.
2) Lang niet alle ftp servers gebruiken 49152 t/m 65534. De meeste Unix
ftp servers gebruiken (iirc) 33000-34000, en MicroSoft gebruikt 1024-5000.

M4

richard lucassen

2008-06-25 06:56:41 UTC

On Wed, 25 Jun 2008 08:40:12 +0200

Post by Martijn Lievaart

Post by A.J. Duijn
Als ik het goed begrepen heb moet ik inkomende poorten 20,21 en
49152 t/m 65534 (IANA-reeks) vrijgeven. Moet nog uitzoeken waar en
hoe ik dat invul.

Bespaar je de moeite. Ik snap niet dat dit zo prominent in FileZilla
aanwezig is, maar dit gaat alleen op bij een 1-op-1 NAT, niet bij
Internet connection sharing. Of als je expliciet de juiste poorten
forward.
1) Die poort 20 wordt gebruikt als source poort, niet als destination
poort.
2) Lang niet alle ftp servers gebruiken 49152 t/m 65534. De meeste
Unix ftp servers gebruiken (iirc) 33000-34000, en MicroSoft gebruikt
1024-5000.

Ik heb de discussie nauwelijks gevolgd, maar:

modprobe -v nf_nat_ftp
modprobe -v nf_conntrack_ftp

dan heb je niets meer met bovenstaande te maken, zolang je maar bovenin
je iptables rules dit hebt staan:

iptables -I FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

tjoen

2008-06-25 08:12:51 UTC

Ik zal het samenvatten:
ftp probleem met zijn ISP
Server blokkeert hoge poorten, dus passive ftp niet mogelijk.
Draad is verwarrend door overvloed aan logs
en doordat op clientside poorten zijn geblokkeerd,
schijnt nu opgeheven zijn (afgaande op de woorden van degene met probleem)
Probleem nu gereduceerd tot bug bij ws_ftp of probleem op router.

Post by richard lucassen
modprobe -v nf_nat_ftp
modprobe -v nf_conntrack_ftp
iptables -I FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dat klopt als de router Linux draait.
Maar zou bij elke andere router mogelijk moeten zijn.

richard lucassen

2008-06-25 08:22:19 UTC

On Wed, 25 Jun 2008 10:12:51 +0200

Post by tjoen
ftp probleem met zijn ISP
Server blokkeert hoge poorten, dus passive ftp niet mogelijk.
Draad is verwarrend door overvloed aan logs
en doordat op clientside poorten zijn geblokkeerd,
schijnt nu opgeheven zijn (afgaande op de woorden van degene met
probleem) Probleem nu gereduceerd tot bug bij ws_ftp of probleem op
router.

Post by richard lucassen
modprobe -v nf_nat_ftp
modprobe -v nf_conntrack_ftp
iptables -I FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dat klopt als de router Linux draait.
Maar zou bij elke andere router mogelijk moeten zijn.

Die router (als-ie NAT pleegt) zal wel geen stateful aanpassing van het
PORT commando doen en dan gaat het geheid mis.

Als je vanaf 192.168.1.1 ftp't, dan stuur je:

PORT 192,168,1,1,4,1

Oftewel: maak vanaf sourcepoort 20 verbinding met 192.168.1.1 op poort
1025 (4 x 256 + 1 x 1). Je router op extern ip 11.22.33.44 moet dat
dan vertalen naar:

PORT 11,22,33,44,4,1

Als dat niet gebeurt dan kun je wachten tot je een ons weegt, of
"passive" mode gaan gebruiken.

Maar ftp hoort al 20 jaar op de schroothoop te staan IMHO.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

tjoen

2008-06-25 09:02:20 UTC

Post by richard lucassen
PORT 192,168,1,1,4,1
Oftewel: maak vanaf sourcepoort 20 verbinding met 192.168.1.1 op poort
1025 (4 x 256 + 1 x 1). Je router op extern ip 11.22.33.44 moet dat
PORT 11,22,33,44,4,1

Goed uitgelegd.
Daarnaast moet de router poort 1025 openzetten.

Post by richard lucassen
Maar ftp hoort al 20 jaar op de schroothoop te staan IMHO.

Ik gebruik het nog vaak voor anonymous ftp.

richard lucassen

2008-06-25 09:16:25 UTC

On Wed, 25 Jun 2008 11:02:20 +0200

Post by tjoen

Post by richard lucassen
PORT 192,168,1,1,4,1
Oftewel: maak vanaf sourcepoort 20 verbinding met 192.168.1.1 op
poort 1025 (4 x 256 + 1 x 1). Je router op extern ip 11.22.33.44
PORT 11,22,33,44,4,1

Goed uitgelegd.
Daarnaast moet de router poort 1025 openzetten.

Dat zou die stateful firewall moeten doen, vandaar die iptables rule met
ESTABLISHED,RELATED

Post by tjoen

Post by richard lucassen
Maar ftp hoort al 20 jaar op de schroothoop te staan IMHO.

Ik gebruik het nog vaak voor anonymous ftp.

Er zijn ook nog figuren die met paard en wagen rijden. Maar niet over de
A2 ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

A.J. Duijn

2008-06-26 07:12:30 UTC

Post by Martijn Lievaart
2) Lang niet alle ftp servers gebruiken 49152 t/m 65534. De meeste Unix
ftp servers gebruiken (iirc) 33000-34000, en MicroSoft gebruikt 1024-5000.

De ajduijn.mijnabel.nl ftp-server accepteert elke poortreeks en meldt bij
elke poortreeks een:
Response: 200 PORT command successful.
maar ook een:
Response: 425 Can't build data connection: Connection refused.

tjoen

2008-06-26 09:18:41 UTC

Post by A.J. Duijn

Post by Martijn Lievaart
2) Lang niet alle ftp servers gebruiken 49152 t/m 65534. De meeste Unix
ftp servers gebruiken (iirc) 33000-34000, en MicroSoft gebruikt 1024-5000.

De ajduijn.mijnabel.nl ftp-server accepteert elke poortreeks en meldt bij
Response: 200 PORT command successful.
Response: 425 Can't build data connection: Connection refused.

Je wilt het niet snappen, Ik geef het op.

A.J. Duijn

2008-06-26 13:36:59 UTC

Post by tjoen
Je wilt het niet snappen, Ik geef het op.

OK, je snapt het wel? Leg eens uit wat hier gebeurd. Zelfde server maar
drie jaar geleden.

Valorian
(aka Vincent)

Posted 30-07-2005 13:06 by Valorian (Redactie)
Ik heb gratis webruimte bij mijn internetprovider, maar met een ftp-
programma kom ik er niet op, zo lijkt het..

--------

*** CuteFTP Pro 3.0 - build Nov 4 2002 ***

STATUS:> Getting listing ""...
STATUS:> Resolving host name www.v-kroese.speedlinq.nl...
STATUS:> Host name www.v-kroese.speedlinq.nl resolved: ip = 62.100.30.165.
STATUS:> Connecting to ftp server www.v-kroese.speedlinq.nl:21 (ip =
62.100.30.165)...
STATUS:> Socket connected. Waiting for welcome message...
220 Welcome to the FreeSurf homepage FTP server
STATUS:> Connected. Authenticating...
COMMAND:> USER sp******
331 Password required for sp******.
COMMAND:> PASS *****
230 User sp885698 logged in. Access restrictions apply.
STATUS:> Login successful.
COMMAND:> PWD
257 "/" is current directory.
STATUS:> Home directory: /
COMMAND:> FEAT
500 'FEAT': command not understood.
STATUS:> This site doesn't support the 'features' command.
COMMAND:> REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
STATUS:> This site can resume broken downloads.
COMMAND:> REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
COMMAND:> PASV
227 Entering Passive Mode (62,100,30,165,45,26)
COMMAND:> LIST
STATUS:> Connecting ftp data socket 62.100.30.165:11546...
ERROR:> Can't connect to remote server. Socket error = #10060.

-----------

Dat is de log van CuteFTP pro.. weet iemand waar het euvel zit?

Guido van Brakel

2008-06-26 13:58:28 UTC

Post by A.J. Duijn
OK, je snapt het wel? Leg eens uit wat hier gebeurd. Zelfde server maar
drie jaar geleden.
Valorian
(aka Vincent)
Posted 30-07-2005 13:06 by Valorian (Redactie)
Ik heb gratis webruimte bij mijn internetprovider, maar met een ftp-
programma kom ik er niet op, zo lijkt het..
--------
*** CuteFTP Pro 3.0 - build Nov 4 2002 ***
STATUS:> Getting listing ""...
STATUS:> Resolving host name www.v-kroese.speedlinq.nl...
STATUS:> Host name www.v-kroese.speedlinq.nl resolved: ip = 62.100.30.165.
STATUS:> Connecting to ftp server www.v-kroese.speedlinq.nl:21 (ip =
62.100.30.165)...
STATUS:> Socket connected. Waiting for welcome message...
220 Welcome to the FreeSurf homepage FTP server
STATUS:> Connected. Authenticating...
COMMAND:> USER sp******
331 Password required for sp******.
COMMAND:> PASS *****
230 User sp885698 logged in. Access restrictions apply.
STATUS:> Login successful.
COMMAND:> PWD
257 "/" is current directory.
STATUS:> Home directory: /
COMMAND:> FEAT
500 'FEAT': command not understood.
STATUS:> This site doesn't support the 'features' command.
COMMAND:> REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
STATUS:> This site can resume broken downloads.
COMMAND:> REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
COMMAND:> PASV
227 Entering Passive Mode (62,100,30,165,45,26)
COMMAND:> LIST
STATUS:> Connecting ftp data socket 62.100.30.165:11546...
ERROR:> Can't connect to remote server. Socket error = #10060.

Hallo

Ik volg dit topic al een tijdje, en ga nu maar even mengen in de discussie.

Oorzaak:
A socket error 10060 is a connection time-out error that occurs if
CuteFTP does not receive a response from the remote FTP server after a
command is sent. It occurs after an FTP session is established but
usually before any data is received from the remote FTP server. This
can be caused by a *blocked port*, an incorrect setting for the data
connection type or in some cases by an *unusually large file list*.

Oplossingen:
If the initial FTP connection has already been established and the
firewall has been configured correctly (Can you connect to other FTP
sites?), and the error occurs after the LIST command is sent to the
remote FTP server, then the remote FTP server may be trying to send a
file listing for a directory containing an unusually large number of
files (many thousands of files). That can cause CuteFTP to time out
while waiting for the list. The default transfer timeout setting in
CuteFTP 8 is 60 seconds. Follow these steps to increase the transfer
timeout setting: On the Tools menu, click Global Options and then click
Transfer. In the Resume area, increase the value for the number of
seconds that CuteFTP will wait before it will automatically reconnect
and resume. For a very large list of files on a slow connection, it may
be necessary to increase it to 120 seconds or more.
Note: *The above situation is rarely encountered*. CuteFTP will
connect and display the directory and file list for almost all FTP sites
well before the default 60-second timeout occurs.

Bron:http://kb.globalscape.com/article.aspx?id=10384

Groet,

--
Guido van Brakel
Systeembeheerder,Studerend aan HBO Systeembeheer,Hogeschool Utrecht
Microsoft Certified IT Professional (MCP)
Life is like a box of chocolates, you never know what you're gonna get
Mijn blog: guidovanbrakel.wordpress.com
--

Martijn Lievaart

2008-06-26 18:44:47 UTC

Post by Guido van Brakel
Hallo
Ik volg dit topic al een tijdje, en ga nu maar even mengen in de discussie.

Welkom, maar....

Post by Guido van Brakel
A socket error 10060 is a connection time-out error that occurs if
CuteFTP does not receive a response from the remote FTP server after a
command is sent. It occurs after an FTP session is established but
usually before any data is received from the remote FTP server. This
can be caused by a *blocked port*, an incorrect setting for the data
connection type or in some cases by an *unusually large file list*.

... het kan ook veroorzaakt worden door een server waarvan de provider
zegt dat ie geen passive doet.

Dan kan je lang zoeken naar allerlei technische zaken aan de CuteFTP
kant, maar dat is niet zo relevant meer.
(snip)

Dat zijn dus geen oplossingen. De provider zegt "het werkt niet". Dan
werkt het dus niet.

Post by Guido van Brakel
--
Guido van Brakel
Systeembeheerder,Studerend aan HBO Systeembeheer,Hogeschool Utrecht
Microsoft Certified IT Professional (MCP) Life is like a box of
guidovanbrakel.wordpress.com

Je sigseparator is stuk.

Groetsels,
M4

tjoen

2008-06-26 14:33:07 UTC

Post by A.J. Duijn

Post by tjoen
Je wilt het niet snappen, Ik geef het op.

OK, je snapt het wel? Leg eens uit wat hier gebeurd. Zelfde server maar
drie jaar geleden.

OK, nog een keer.

Post by A.J. Duijn
*** CuteFTP Pro 3.0 - build Nov 4 2002 ***

Eerste fout.

Post by A.J. Duijn
COMMAND:> PASV

Tweede fout.

A.J. Duijn

2008-06-26 14:01:20 UTC

Post by tjoen
Je wilt het niet snappen, Ik geef het op.

Of op deze dan?

Volkert:

Geplaatst op zondag 01 juni 2008 13:20

Na 3 maanden geen abonnement meer te hebben staan mijn Speedlinq email-
adres en homepage nog steeds actief!

Alleen kan ik niet meer FTP-en naar mijn homepage site omdat mijn FTP-
programma zegt dat ik per se via het FreeSurf domein moet komen.

Weet iemand hier een workaround voor? Kan ik met een analoog modem o.i.d.
misschien inbellen op het FreeSurf netwerk?

GH Snijders

2008-06-23 18:45:21 UTC

Post by A.J. Duijn

Post by Martijn Lievaart
Niets vreemds te zien, behalve dat er nooit geprobeerd wordt een
datastream op te zetten. Maar ja, dat was nu precies het probleem.

[...]

Post by A.J. Duijn
In terminal tshark gedraaid. En FileZilla in de meest optimale (active)
configuratie die ik kon vinden tot nu toe.

[...]

Post by A.J. Duijn
0.345444 62.100.30.165 -> 172.19.3.2 FTP Response: 200 PORT command
successful.
0.345745 172.19.3.2 -> 62.100.30.165 FTP Request: LIST 0.380927
62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Mijn kennis van FTP is aardig roestig, dus moest ik eea even nazoeken,
maar IMHO zet bij Active FTP de Server het data kanaal op. Dit moet een
eventuele firewall dus wel toestaan.

Mijn beeld van de situatie:

- Je gebruikt active FTP, dat betekend dat de server de data connectie
opzet.
- Je gebruikt een 172.19.x.y IP adres, dat is een private range, dus je
verkeer naar buiten toe moet vertaald worden naar een publiek adres.

Als ik de draad goed begrepen, had je je lokale systeem al gecontroleerd
op een firewall, maar ik denk dat je een router gebruikt voor de toegang
tot Internet en dat die router FTP niet toestaat (of iig niet de retour
connectie, mogelijk is passive FTP ook uitgeschakeld).

Ik zou zeggen; bekijk de configuratie van die router eens goed door,
wellicht is daar wel wat in terug te vinden. Weet je zo welk type het
is?

[ Active FTP ]
http://slacksite.com/other/ftp.html

[ RFC 1918: Address Allocation for Private Internets ]
http://tools.ietf.org/html/rfc1918
(paragraaf 3, Private Address Space)

HTH, HAND

mvg,
Guus

tjoen

2008-06-23 19:22:28 UTC

Post by GH Snijders
- Je gebruikt active FTP, dat betekend dat de server de data connectie
opzet.

Vlgs mij gebruikt hij passive ftp. En de server blokkeert dat.
In windows zou hij active ftp hebben gebruikt, en dat werkte.

GH Snijders

2008-06-23 20:42:35 UTC

Post by tjoen

Post by GH Snijders
- Je gebruikt active FTP, dat betekend dat de server de data connectie
opzet.

Vlgs mij gebruikt hij passive ftp. En de server blokkeert dat.
62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Volgens mij geeft de server (62.100.30.265) hier een melding dat hij geen
data connection kan opzetten. Dat lijkt me toch Active FT (bij passive
initieerd de client de verbinding).

correct me if i'm wrong.

mvg,
Guus

Martijn Lievaart

2008-06-23 21:21:34 UTC

Post by GH Snijders

Post by tjoen

Post by GH Snijders
- Je gebruikt active FTP, dat betekend dat de server de data connectie
opzet.

Vlgs mij gebruikt hij passive ftp. En de server blokkeert dat.
62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Volgens mij geeft de server (62.100.30.265) hier een melding dat hij
geen data connection kan opzetten. Dat lijkt me toch Active FT (bij
passive initieerd de client de verbinding).
correct me if i'm wrong.

Klopt exact en is precies wat er gebeurd als je met een active client
achter een natting router zit.

M4

tjoen

2008-06-24 07:20:56 UTC

Post by Martijn Lievaart

Post by GH Snijders

Post by A.J. Duijn
62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Volgens mij geeft de server (62.100.30.265) hier een melding dat hij
geen data connection kan opzetten. Dat lijkt me toch Active FT (bij
passive initieerd de client de verbinding).

Dat was in een vroege posting. Stond de firewall toen niet aan?
Ik kreeg geen response op mijn vraag hoe die firewall was uitgezet.

Post by Martijn Lievaart
Klopt exact en is precies wat er gebeurd als je met een active client
achter een natting router zit.

Ik had de indruk dat die router correct werkte met een windows active client.

Martijn Lievaart

2008-06-24 07:51:46 UTC

Post by tjoen

Post by Martijn Lievaart
Klopt exact en is precies wat er gebeurd als je met een active client
achter een natting router zit.

Ik had de indruk dat die router correct werkte met een windows active client.

Op die router zelf, of erachter. Ik vermoed het eerste.

M4

A.J. Duijn

2008-06-24 12:01:51 UTC

Post by Martijn Lievaart

Post by GH Snijders

Post by A.J. Duijn
62.100.30.165 -> 172.19.3.2 FTP Response: 425 Can't build
data connection: Connection refused.

Volgens mij geeft de server (62.100.30.265) hier een melding dat hij
geen data connection kan opzetten. Dat lijkt me toch Active FT (bij
passive initieerd de client de verbinding).

Dat was in een vroege posting. Stond de firewall toen niet aan? Ik kreeg
geen response op mijn vraag hoe die firewall was uitgezet.

Inmiddels is duidelijk dat er in de Linux situatie een firewall was
geistalleerd, maar deze niet actief was.

***@thompson:~$ sudo /etc/init.d/ufw start
[sudo] password for adrdui:
* Skipping firewall: ufw (not enabled)...
[ OK ]
***@thompson:~$ sudo /etc/init.d/ufw stop
* Stopping firewall: ufw...
[ OK ]
***@thompson:~$

De firewall kan niet gestart worden!
en ik ben erop gewezen dat deze melding na het stop-commando erop duidt
dat de firewall niet draaide.

Post by Martijn Lievaart
Klopt exact en is precies wat er gebeurd als je met een active client
achter een natting router zit.

Ik had de indruk dat die router correct werkte met een windows active client.

Die indruk is verkeerd. Op windows had ik vergelijkbare problemen.

A.J. Duijn

2008-06-24 21:40:45 UTC

Post by A.J. Duijn
* Skipping firewall: ufw (not enabled)...
[ OK ]
* Stopping firewall: ufw...
[ OK ]

Voor als je ethernet een WAN address heeft en een firewall nodig hebt en
ftp wilt gebruiken.

adrdui@**********:~$ sudo ufw enable
[sudo] password for adrdui:
Firewall started and enabled on system startup
adrdui@**********:~$ sudo ufw allow ftp
Rule added
adrdui@**********:~$ sudo ufw allow from ajduijn.mijnabel.nl
ERROR: Bad source address
adrdui@**********:~$ sudo ufw allow from 62.100.30.165
Rule added
adrdui@**********:~$ sudo ufw delete allow from 62.100.30.165
Rule deleted
adrdui@**********:~$ sudo ufw delete allow ftp
Rule deleted
adrdui@**********:~$ sudo ufw disable
Firewall stopped and disabled on system startup
adrdui@**********:~$

A.J. Duijn

2008-06-24 13:22:33 UTC

Post by tjoen
Ik had de indruk dat die router correct werkte met
een windows active client.

OK dan, even vanaf Windows XP.Firewall even uitgeschakeld. Vanaf
account met beheerdersrechten.
*In automatic detect. Passive aangevinkt.*

WINSOCK.DLL: WinSock 2.0
WS_FTP LE 5.08 2000.01.13, Copyright © 1992-2000 Ipswitch, Inc.
- -
connecting to 62.100.30.165:21
Connected to 62.100.30.165 port 21
220 Welcome to the FreeSurf homepage FTP server
USER ********
331 Password required for ********.
PASS (hidden)
230 User ******** logged in. Access restrictions apply.
PWD
257 "/" is current directory.
SYST
215 UNIX Type: L8
Host type (S): UNIX (standard)
PASV
227 Entering Passive Mode (62,100,30,165,237,136)
connecting to 62.100.30.165:60808
- -
connecting to 62.100.30.165:60808
! Connection failed 62.100.30.165 - connection timed out
! connect: error 0
PORT 172,19,3,2,8,18
500 Illegal PORT Command
! Failed "port":
! Retrieve of folder listing failed (0)

*En nogmaals in active mode.*

connecting to 62.100.30.165:21
Connected to 62.100.30.165 port 21
220 Welcome to the FreeSurf homepage FTP server
USER ab283175
331 Password required for ab283175.
PASS (hidden)
230 User ab283175 logged in. Access restrictions apply.
PWD
257 "/" is current directory.
Host type (I): UNIX (standard)
PORT 172,19,3,2,11,31
500 Illegal PORT Command
! Failed "port":
! Retrieve of folder listing failed (0)

Windows XP of Linux Ubuntu maakt niet uit!

tjoen

2008-06-24 17:37:22 UTC

A.J. Duijn wrote:
...

Post by A.J. Duijn
WS_FTP LE 5.08 2000.01.13, Copyright © 1992-2000 Ipswitch, Inc.
connecting to 62.100.30.165:60808
! Connection failed 62.100.30.165 - connection timed out

OK, duidelijk: een firewall op de server.
Dacht ik al.

Post by A.J. Duijn
! connect: error 0
PORT 172,19,3,2,8,18
500 Illegal PORT Command
! Retrieve of folder listing failed (0)

Snap ik niet, is die van de server of de client?

Post by A.J. Duijn
*En nogmaals in active mode.*
PORT 172,19,3,2,11,31
500 Illegal PORT Command
! Retrieve of folder listing failed (0)

Zelfde raadsel.

Echte duidelijkheid krijg je met ftp.exe in windows
en /usr/bin/ftp in linux.
Omschakelen passive-active gaat met het command passive.

A.J. Duijn

2008-06-24 20:12:47 UTC

...

Post by A.J. Duijn
WS_FTP LE 5.08 2000.01.13, Copyright © 1992-2000 Ipswitch, Inc.
connecting to 62.100.30.165:60808
! Connection failed 62.100.30.165 - connection timed out

OK, duidelijk: een firewall op de server. Dacht ik al.

Nee, er staat toch in de post dat ik die heb uitgeschakeld. En op windows
is dat toch niet zo moeilijk te zien met die koeieletters.

Post by A.J. Duijn
! connect: error 0
PORT 172,19,3,2,8,18
500 Illegal PORT Command
! Retrieve of folder listing failed (0)

Snap ik niet, is die van de server of de client?

Die met het nummer ervoor is van de server, die met uitroeptekens van de
client. Voor de foutmeldingen met nummers ervoor kun je kijken in:
http://www.altools.com/image/support/alftp/ALFTP_4x/
FTP_response_codes_rfc_959_messages.htm

Post by A.J. Duijn
*En nogmaals in active mode.*
PORT 172,19,3,2,11,31
500 Illegal PORT Command
! Retrieve of folder listing failed (0)

Zelfde raadsel.

Ja want WS_FTP in automatic detect doet eerst in poging in passive en dan
in active mode. Daarna heb ik het nog een keer in active mode gedaan.
Daarom krijg je twee keer hetzelfde. Dat vinkje passive staat default aan
en als je dat gewoon aan laat staan kun je van alle walletjes meeeten.
Maar in mijn geval blijft het toch niet werken omdat het probleem in de
netwerkconfiguratie en/of serverconfiguratie zit bij de provider.

Echte duidelijkheid krijg je met ftp.exe in windows en /usr/bin/ftp in
linux.
Omschakelen passive-active gaat met het command passive.

tjoen

2008-06-24 21:17:10 UTC

Post by A.J. Duijn

...

Post by A.J. Duijn
connecting to 62.100.30.165:60808
! Connection failed 62.100.30.165 - connection timed out

OK, duidelijk: een firewall op de server. Dacht ik al.

Nee, er staat toch in de post dat ik die heb uitgeschakeld.

Ik heb begrepen dat je die op de client hebt uitgeschakeld.
Heb je nu wel of niet de firewall op de server uigeschakeld.

Post by A.J. Duijn

Post by A.J. Duijn
! connect: error 0
PORT 172,19,3,2,8,18
500 Illegal PORT Command
! Retrieve of folder listing failed (0)

Snap ik niet, is die van de server of de client?

Die met het nummer ervoor is van de server, die met uitroeptekens van de
client.

Ik denk dat het me duidelijk is.
Client geeft command PORT 172,19,3,2,8,18 en luistert op port 8*256+18.
Dat is door de router mogelijk verkeerd doorgegeven.
Server geeft antwoord 500 Illegal PORT Command (syntax error e.d.)

Post by A.J. Duijn

Echte duidelijkheid krijg je met ftp.exe in windows en /usr/bin/ftp in
linux.
Omschakelen passive-active gaat met het command passive.

Heb je dat al gedaan?
Zie je niet hoe dichtbij je de oplossing bent?
Alleen onderzoeken of de fout bij ws_ftp ligt of de router.
Indien dat laatste moet uitgezocht worden hoe ftp mogelijkheid
van de router aangezet moet worden.
(OK, een kleine kans dat server uitgaande poort 20 ook blokkeert)

A.J. Duijn

2008-06-26 15:26:07 UTC

Post by tjoen
Client geeft command PORT 172,19,3,2,8,18 en luistert op port 8*256+18.
Dat is door de router mogelijk verkeerd doorgegeven.

Nee, de client geeft een PORT command met een IP-address dat in een van
de gereserveerde gebieden ligt voor LAN. Daar wil de server niet aan
meewerken. En de client doet dat omdat clients ethernet kaart een LAN-
address heeft. (Die is met DHCP van de IAD verkregen.)

richard lucassen

2008-06-26 16:56:15 UTC

On Thu, 26 Jun 2008 15:26:07 +0000 (UTC)

Post by A.J. Duijn

Post by tjoen
Client geeft command PORT 172,19,3,2,8,18 en luistert op port
8*256+18. Dat is door de router mogelijk verkeerd doorgegeven.

Nee, de client geeft een PORT command met een IP-address dat in een
van de gereserveerde gebieden ligt voor LAN. Daar wil de server niet
aan meewerken.

Hij zal wel meewerken, maar het is niet routeerbaar over het internet
(rfc1918)

Post by A.J. Duijn
En de client doet dat omdat clients ethernet kaart een
LAN- address heeft. (Die is met DHCP van de IAD verkregen.)

Nee, dat hoort jouw modem te vertalen. ftp connection tracking en ftp
nat heet dat.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

A.J. Duijn

2008-06-26 19:54:15 UTC

Post by richard lucassen
Nee, dat hoort jouw modem te vertalen. ftp connection tracking en ftp
nat heet dat.

Bestaat er zoiets op Linux als een application layer gateway?
Zo ja, maakt dit gebruik van het loopback address?

Het was me opgevallen dat FileZilla in de network configuration wizard
met het scherm met als eerste regel:
'In order to use active mode.'
bij keuze:
'Get external IP address from the following URL:
http://ip.filezilla-project.org/ip.php
als IP-address 127.0.0.1 terug gaf: het loopback address

ALG service in Microsoft Windows

The Application Layer Gateway service in Microsoft Windows provides
support for third-party plugins that allow network protocols to pass
through the Windows Firewall and work behind it and Internet Connection
Sharing. ALG plugins can open ports and change data that is embedded in
packets, such as ports and IP addresses. Windows Server 2003 also
includes an ALG FTP plugin. The ALG FTP plugin is designed to support
active FTP sessions through the NAT engine in Windows. To do this, the
ALG FTP plugin redirects all traffic that passes through the NAT and that
is destined for port 21 (FTP control port) to a private listening port in
the 3000-5000 range on the Microsoft *loopback adapter*. The ALG FTP
plugin then monitors/updates traffic on the FTP control channel so that
the FTP plugin can plumb port mappings through the NAT for the FTP data
channels. The FTP plugin will also update ports in the FTP control
channel stream.

http://en.wikipedia.org/wiki/Application_Layer_Gateway

Hoe werkt dit bij Windows Server 2003? Heb je dan twee netwerkkaarten
waarvan er een aan WAN hangt en een aan LAN, of maakt dat niet uit en kun
je ermee door een LAN/WAN NAT of PAT of hoe dat ook mag heten?

Is 'loopback adapter' op Winows Server 2003 vergelijkbaar met
het 'loopback address' in Linux?

A.J. Duijn

2008-06-26 20:17:06 UTC

Post by A.J. Duijn
Bestaat er zoiets op Linux als een application layer gateway?

Heb ik misschien iets aan?
Gevonden met 'ftp gateway' in de Synaptic Package Manager

Package: redir

Redirect TCP connections
It can run under inetd or stand alone (in which case it handles
multiple connections). It is 8 bit clean, not limited to line
mode, is small and light. Supports transparency, FTP redirects, http
proxying, and bandwidth limiting.

redir is all you need to redirect traffic across firewalls authenticate
based on an IP address etc etc. No need for the firewall toolkit. The
functionality of inetd/tcpd and "redir" will allow you to do everything
you need without screwy telnet/ftp etc gateways. (I assume you are running
IP Masquerading of course.)

Homepage: http://sammy.net/~sammy/hacks/

Guido van Brakel

2008-06-26 20:28:55 UTC

Post by A.J. Duijn
Hoe werkt dit bij Windows Server 2003? Heb je dan twee netwerkkaarten
waarvan er een aan WAN hangt en een aan LAN, of maakt dat niet uit en kun
je ermee door een LAN/WAN NAT of PAT of hoe dat ook mag heten?
Is 'loopback adapter' op Winows Server 2003 vergelijkbaar met
het 'loopback address' in Linux?

Uit mijn ervaring is in een standaard installatie van Windows Server
2003 de loopback adapter niet zichtbaar in de netwerkconfiguratie, hij
is alleen te pingen op adres 127.0.0.1. Alleen bij Routing en Remote
Access kun je hem wel zien, maar dat moet dan eerst aangezet worden.

Voor LAN/WAN is het meestal gebruikelijk om twee netwerkkaarten te
hebben, of met een firewall er tussen, want de Windows Firewall voldoet
vaak niet.

Ook wordt er vaak gewerkt met front-end en back-end. Een server die goed
beveiligd is wordt voor de firewall geplaatst (front-end), de rest
komt achter de firewall, waar de front-end het doorstuurt naar de back-end.

Groet,

--
Guido van Brakel
Systeembeheerder,Studerend aan HBO Systeembeheer,Hogeschool Utrecht
Microsoft Certified IT Professional (MCP)
Life is like a box of chocolates, you never know what you're gonna get
Mijn blog: guidovanbrakel.wordpress.com
--

A.J. Duijn

2008-06-26 22:24:16 UTC

Post by Guido van Brakel
Voor LAN/WAN is het meestal gebruikelijk om twee netwerkkaarten te
hebben,

Nou ja de vraag die me bezighoudt is of ALG alleen kan werken tussen LAN
en WAN in of dat de bewerkingen van ALG ook op LAN kunnen plaats vinden.

Post by Guido van Brakel
Groet,
--
Guido van Brakel

Kun van die twee streepjes drie streepjes maken in je nieuwslezer? Dan
geven veel nieuwslezer het er onderstaande weer in een andere kleur. En
zet ze maar boven groet. Dan zien je posts er beter uit.

Martijn Lievaart

2008-06-27 07:09:27 UTC

Post by A.J. Duijn

Post by Guido van Brakel
Voor LAN/WAN is het meestal gebruikelijk om twee netwerkkaarten te
hebben,

Nou ja de vraag die me bezighoudt is of ALG alleen kan werken tussen LAN
en WAN in of dat de bewerkingen van ALG ook op LAN kunnen plaats vinden.

Kan, maar dan moet je zorgen dat ook de retour pakketten door de ALG
gaan, wat normaal niet het geval is. Je hebt het nu over een heel
specifieke setup die kan werken, maar in de praktijk voor 99% gecreerd
wordt door mensen die niet weten waar ze mee bezig zijn. Sysadmins
vermijden deze situatie liever vanwege de complexiteit.

Overigens, als je denkt dat je die situatie met twee netwerkkaarten kunt
oplossen, dat is zo, maar is meestal ook complex. Als je er al over
nadenkt om het over 1 netwerkkaart te doen, is je setup meestal zo dat
het met twee ook niet gaat werken.

(Uitzondering natuurlijk als je met VLAN trunks werkt, maar dan wordt die
ene fysieke kaart opgedeeld in meerdere logische netwerkverbindingen en
dat werkt natuurlijk wel (en nee, dit kan Windows niet AFAIK)).

Je houdt je bezig met vragen waarvoor je blijk hebt gegeven de context
nog niet goed genoeg te kennen. Jouw problemen met Abel zijn een mooi
vehikel om snel wat bij te leren over tcp/ip en ftp. Dit niet, dit is
momenteel veel te complex voor jou, sory dat ik het zeg.

M4

Martijn Lievaart

2008-06-27 07:02:00 UTC

Post by richard lucassen
Nee, dat hoort jouw modem te vertalen. ftp connection tracking en ftp
nat heet dat.

Bestaat er zoiets op Linux als een application layer gateway? Zo ja,

Niet nodig, de kernel kent een module voor ftp.

maakt dit gebruik van het loopback address?

Nee.

Het was me opgevallen dat FileZilla in de network configuration wizard
'In order to use active mode.'

Nogmaals, nu anders verwoord.

De hele wereld gebruikt al 30 jaar active ftp, zonder een expliciet
extern adres te hoeven opgeven. Ik ken FileZilla niet, maar weet dat het
prima software is. Ik denk dat jij ergens overheen leest.

De enige reden om een expliciet extern adres op te geven is als er sprake
is van 1-op-1 nat (en dat is op jou niet van toepassing) zonder ftp
helper op de nat router.

http://ip.filezilla-project.org/ip.php als IP-address 127.0.0.1 terug
gaf: het loopback address

Buiten dat deze zin geen Nederlands is, je volgt een rode haring, het is
niet interessant, totdat je een veel beter begrip heb van wat er gebeurt,
en ook dan is het alleen accademisch interessant omdat het niet van
toepassing is op jou situatie.

ALG service in Microsoft Windows
The Application Layer Gateway service in Microsoft Windows provides
support for third-party plugins that allow network protocols to pass
through the Windows Firewall and work behind it and Internet Connection
Sharing. ALG plugins can open ports and change data that is embedded in
packets, such as ports and IP addresses. Windows Server 2003 also
includes an ALG FTP plugin. The ALG FTP plugin is designed to support
active FTP sessions through the NAT engine in Windows. To do this, the
ALG FTP plugin redirects all traffic that passes through the NAT and
that is destined for port 21 (FTP control port) to a private listening
port in the 3000-5000 range on the Microsoft *loopback adapter*. The ALG
FTP plugin then monitors/updates traffic on the FTP control channel so
that the FTP plugin can plumb port mappings through the NAT for the FTP
data channels. The FTP plugin will also update ports in the FTP control
channel stream.

Vertaald: De Microsoft firewall kan met plugins werken. De firewall praat
met de plugins over de loopbackadapter. De gebruiker merkt daar niets
van. Het is een implementatie detail wat interessant is voor de
schrijvers van ALGs.

Verder staat daar een beschrijving van een FTP-ALG: De FTP-ALG kijkt in
de control stream en verandert eventueel de ip/poort addressen die
langskomen zodat FTP werkt over NAT. Precies wat je verwacht van een FTP-
ALG. Heeft helemaal niets met die loopback adapter te maken.

Hoe werkt dit bij Windows Server 2003? Heb je dan twee netwerkkaarten
waarvan er een aan WAN hangt en een aan LAN, of maakt dat niet uit en
kun je ermee door een LAN/WAN NAT of PAT of hoe dat ook mag heten?

Je beschrijft nu een Windows server die ook als router werkt, en
inderdaad, als die NAT/PAT doet, heb je een FTP-ALG nodig.

Maar bij jou doet je router NAT, dus is dit voor jou niet van toepassing.

Is 'loopback adapter' op Winows Server 2003 vergelijkbaar met het
'loopback address' in Linux?

Hangt van de schrijver van het stuk af, of die het snapt. Meestal niet.

Een loopback adapter stuurt de pakketten die de host hem stuurt, direct
weer terug naar de host. Op veel stacks is 127.0.0.1 geimplementeerd door
middel van zo'n loopback adapter. Op Windows niet, daar is 127.0.0.1 hard
gecodeerd in de IP stack. Wil je meer loopback adressen, buiten de
127.0.0.0/8 reeks, moet je een loopback adapter installeren.

M4

A.J. Duijn

2008-06-27 07:52:23 UTC

Post by Martijn Lievaart

Post by richard lucassen
Nee, dat hoort jouw modem te vertalen. ftp connection tracking en ftp
nat heet dat.

Bestaat er zoiets op Linux als een application layer gateway? Zo ja,

Niet nodig, de kernel kent een module voor ftp.

Een kernel van een Linux-installatie ingezet als router doet aan 'ftp
connection tracking en ftp nat' maar bij een niet-router installatie heb
je daar niets aan?

Martijn Lievaart

2008-06-28 08:27:21 UTC

Post by A.J. Duijn

Post by Martijn Lievaart

Post by richard lucassen
Nee, dat hoort jouw modem te vertalen. ftp connection tracking en ftp
nat heet dat.

Bestaat er zoiets op Linux als een application layer gateway? Zo ja,

Niet nodig, de kernel kent een module voor ftp.

Een kernel van een Linux-installatie ingezet als router doet aan 'ftp
connection tracking en ftp nat' maar bij een niet-router installatie heb
je daar niets aan?

Nee. Dat klopt hooguit half, en zelfs dan niet helemaal.

Connection tracking is een firewall functie en heeft niets met routing te
maken. Je kan (en het is een goed idee ook nog eens) ook op niet-routende
linuxen een firewall draaien.

Ftp nat heb je inderdaad pas nodig als je wel routeert met nat.

Maar in alle gevallen moet je zelf die modules laden, de kernel doet daar
niets aan. Afhankelijk van je distro en/of firewall script kunnen die het
voor je doen.

M4

Martijn Lievaart

2008-06-25 06:41:25 UTC

Echte duidelijkheid krijg je met ftp.exe in windows en /usr/bin/ftp in
linux.
Omschakelen passive-active gaat met het command passive.

Als ik het mij goed herinner kan de Windows client geen passive.

M4

tjoen

2008-06-25 07:45:06 UTC

Martijn Lievaart wrote:
[over ftp.exe]

Post by Martijn Lievaart
Als ik het mij goed herinner kan de Windows client geen passive.

Mogelijk, ik kan me niet herinneren het ooit te hebben geprobeerd.

A.J. Duijn

2008-06-24 08:13:55 UTC

Post by GH Snijders
Volgens mij geeft de server (62.100.30.265) hier een melding dat hij
geen data connection kan opzetten. Dat lijkt me toch Active FT (bij
passive initieerd de client de verbinding).
correct me if i'm wrong.

I don't have to correct you, you're right.

A.J. Duijn

2008-06-24 08:11:27 UTC

Vlgs mij gebruikt hij passive ftp. En de server blokkeert dat. In
windows zou hij active ftp hebben gebruikt, en dat werkte.

Ik het beide geprobeerd, en nog geen van beide werkt. Maar met active kom
ik het verst. Ik kan met active een directory aanmaken op de server en
weer verwijderen. Ik kan een lege index.html file maken en weer
verwijderen. Ik zou er ook wel een html file met html erin willen kunnen
sturen begrijp je?

A.J. Duijn

2008-06-24 08:05:31 UTC

Post by GH Snijders
Ik zou zeggen; bekijk de configuratie van die router eens goed door,
wellicht is daar wel wat in terug te vinden. Weet je zo welk type het
is?

Dit is een IAD (integrated access device, bellen en internetten) van
BBNED waar ik niet in kan komen. Ik hang eraan met DHCP. Mijn provider is
Abel. Abel is een reseller van XB-net. XB-net is een reseller van BBNED.
Eerst kijken of ik het probleem zelf kan oplossen. Zoniet, en ik kan
bewijzen dat ik het probleem zelf niet kan oplossen, dan maak ik een
ticket aan in het servicesysteem van Abel. Zo mogelijk verzamel ik andere
Abelaars op Internet met hetzelfde probleem, en probeer ik er een
groepsticket van te maken. Aanleiding voor deze speurtocht, is het grote
aantal problemen dat Abelaars hebben ermee.

Martijn Lievaart

2008-06-25 06:43:42 UTC

Post by A.J. Duijn

Post by GH Snijders
Ik zou zeggen; bekijk de configuratie van die router eens goed door,
wellicht is daar wel wat in terug te vinden. Weet je zo welk type het
is?

Dit is een IAD (integrated access device, bellen en internetten) van
BBNED waar ik niet in kan komen. Ik hang eraan met DHCP. Mijn provider
is Abel. Abel is een reseller van XB-net. XB-net is een reseller van
BBNED. Eerst kijken of ik het probleem zelf kan oplossen. Zoniet, en ik
kan bewijzen dat ik het probleem zelf niet kan oplossen, dan maak ik een
ticket aan in het servicesysteem van Abel. Zo mogelijk verzamel ik
andere Abelaars op Internet met hetzelfde probleem, en probeer ik er een
groepsticket van te maken. Aanleiding voor deze speurtocht, is het grote
aantal problemen dat Abelaars hebben ermee.

Eerste wat je nu moet doen is experimenteren met andere FTP servers. Als
die het wel doen, zit het probleem in die ene ftp server. Als die anderen
het ook niet doen, is er iets behoorlijk f*cked met jouw verbinding (of
met al jouw clients, maar dat lijkt me sterk).

M4

81 Antwoorden
61 Uitzichten
Permalink naar deze pagina
Verbeterde parsering uitschakelen

Boomnavigatie

A.J. Duijn 2008-06-20 11:31:26 UTC

Guido van Brakel 2008-06-20 13:18:58 UTC

A.J. Duijn 2008-06-20 16:58:43 UTC

tjoen 2008-06-20 17:31:53 UTC

richard lucassen 2008-06-20 17:41:41 UTC

dillinger 2008-06-20 20:30:12 UTC

A.J. Duijn 2008-06-20 22:48:02 UTC

Martijn Lievaart 2008-06-21 07:41:47 UTC

A.J. Duijn 2008-06-21 12:09:50 UTC

Martijn Lievaart 2008-06-21 17:57:28 UTC

tjoen 2008-06-21 18:30:52 UTC

Martijn Lievaart 2008-06-22 09:55:31 UTC

tjoen 2008-06-22 13:44:48 UTC

Martijn Lievaart 2008-06-22 19:32:58 UTC

A.J. Duijn 2008-06-21 18:35:57 UTC

Ximinez 2008-06-22 12:13:20 UTC

A.J. Duijn 2008-06-22 14:59:55 UTC

Ximinez 2008-06-22 15:39:55 UTC

A.J. Duijn 2008-06-22 18:02:16 UTC

Dick Hoogendijk 2008-06-22 19:40:33 UTC

Ximinez 2008-06-23 05:38:35 UTC

A.J. Duijn 2008-06-23 17:00:19 UTC

Ximinez 2008-06-23 17:39:57 UTC

Dick Streefland 2008-06-24 16:29:16 UTC

A.J. Duijn 2008-06-24 19:52:02 UTC

A.J. Duijn 2008-06-22 13:30:11 UTC

tjoen 2008-06-22 18:05:40 UTC

tjoen 2008-06-22 18:48:56 UTC

Martijn Lievaart 2008-06-22 19:30:25 UTC

A.J. Duijn 2008-06-22 21:32:56 UTC

Martijn Lievaart 2008-06-23 06:49:48 UTC

A.J. Duijn 2008-06-23 13:20:12 UTC

Martijn Lievaart 2008-06-23 17:36:30 UTC

A.J. Duijn 2008-06-23 19:34:56 UTC

Martijn Lievaart 2008-06-23 21:20:11 UTC

A.J. Duijn 2008-06-24 10:29:52 UTC

A.J. Duijn 2008-06-23 23:19:13 UTC

Martijn Lievaart 2008-06-24 06:50:20 UTC

A.J. Duijn 2008-06-23 18:32:20 UTC

Martijn Lievaart 2008-06-23 21:19:08 UTC

A.J. Duijn 2008-06-24 09:49:47 UTC

Martijn Lievaart 2008-06-25 06:40:12 UTC

richard lucassen 2008-06-25 06:56:41 UTC

tjoen 2008-06-25 08:12:51 UTC

richard lucassen 2008-06-25 08:22:19 UTC

tjoen 2008-06-25 09:02:20 UTC

richard lucassen 2008-06-25 09:16:25 UTC

A.J. Duijn 2008-06-26 07:12:30 UTC

tjoen 2008-06-26 09:18:41 UTC

A.J. Duijn 2008-06-26 13:36:59 UTC

Guido van Brakel 2008-06-26 13:58:28 UTC

Martijn Lievaart 2008-06-26 18:44:47 UTC

tjoen 2008-06-26 14:33:07 UTC

A.J. Duijn 2008-06-26 14:01:20 UTC

GH Snijders 2008-06-23 18:45:21 UTC

tjoen 2008-06-23 19:22:28 UTC

GH Snijders 2008-06-23 20:42:35 UTC

Martijn Lievaart 2008-06-23 21:21:34 UTC

tjoen 2008-06-24 07:20:56 UTC

Martijn Lievaart 2008-06-24 07:51:46 UTC

A.J. Duijn 2008-06-24 12:01:51 UTC

A.J. Duijn 2008-06-24 21:40:45 UTC

A.J. Duijn 2008-06-24 13:22:33 UTC

tjoen 2008-06-24 17:37:22 UTC

A.J. Duijn 2008-06-24 20:12:47 UTC

tjoen 2008-06-24 21:17:10 UTC

A.J. Duijn 2008-06-26 15:26:07 UTC

richard lucassen 2008-06-26 16:56:15 UTC

A.J. Duijn 2008-06-26 19:54:15 UTC

A.J. Duijn 2008-06-26 20:17:06 UTC

Guido van Brakel 2008-06-26 20:28:55 UTC

A.J. Duijn 2008-06-26 22:24:16 UTC

Martijn Lievaart 2008-06-27 07:09:27 UTC

Martijn Lievaart 2008-06-27 07:02:00 UTC

A.J. Duijn 2008-06-27 07:52:23 UTC

Martijn Lievaart 2008-06-28 08:27:21 UTC

Martijn Lievaart 2008-06-25 06:41:25 UTC

tjoen 2008-06-25 07:45:06 UTC

A.J. Duijn 2008-06-24 08:13:55 UTC

A.J. Duijn 2008-06-24 08:11:27 UTC

A.J. Duijn 2008-06-24 08:05:31 UTC

Martijn Lievaart 2008-06-25 06:43:42 UTC

info - legalese

Loading...