Vsftpd und Timeout

Greenpeace

Fleet Captain Special
Mitglied seit
22.10.2002
Beiträge
328
Renomée
0
Hiho,
da mein Server gerade gedeiht (mit eurem dazutun :-* ) will ich ein Ftpserver aufbauen.
Soweit so gut, von dem Rechner hinter meinem Router komme ich problemlos auf den FTP-Server (auch wenn ich es über greenpeace.myftp.org probiere). Ein Kumpel von mir der das testen sollte bekommt jedoch immer ein timeout.

Ich denke eig. ,dass die an einem geschloßenem port liegt. Aber Port 21 ist auf jeden Fall offen:

#################################################################################################################
# Put in the following variables which ports or IP protocols you want to leave open to the whole world #
#################################################################################################################
OPEN_TCP="21 22 10000"
OPEN_UDP="21 22 10000"

[Zu erinnerung es handelt sich hierbei um Arnos Iptables Script]

OT:Hat einer von euch ne Ahnung wie ich den Server überwachen kann? (Wer war drauf und hat was gemacht?)
 
Afaik finden die eigentlichen Transaktionen bei FTP über andere Ports statt. Mehr weis ich da jetzt aber auch net :].
 
Und für passive FTP

The result of this is that the server then opens a random unprivileged port (P > 1024) and sends the PORT P command back to the client. The client then initiates the connection from port N+1 to port P on the server to transfer data.

Also die Ports über 1024 sollten auch frei sein, da da normalerweise sowieso nix bzw. praktisch nix läuft auch kein allzugroßes Sicherheitsrisiko.
 
Original geschrieben von i_hasser
Also die Ports über 1024 sollten auch frei sein, da da normalerweise sowieso nix bzw. praktisch nix läuft auch kein allzugroßes Sicherheitsrisiko.

Das ist falsch. Gerade die Ports >1024 sind ein sehr großes Sicherheitsrisiko, da dich normalerweise nicht gebunden sind, und da sonstwas drauf laufen kann. Alles was <1024 ist, ist meist fest vorgegeben. Da kann man nicht mal eben ein anderes Programm drauf setzen, ohne das es knallt.
Genau wegen diesen Vorgaben sind die unteren Ports auch privilegiert.
 
Es liegt eben an dem der den Server einrichtet nix auf die oberen Ports zu legen ;).

Portscans werden aber oft nur innerhalb der unteren Ports ausgeführt, weil es sonst schlicht zu lang dauert :P.


Das dumme ist, dass ja anscheinend nicht wirklich festgelegt ist welche Ports benutzt werden. > 1024 kann alles im Bereich 1025...65535 sein.
 
Das heißt ich muss alle Ports über 1024 öffnen? Das würde ich sehr sehr ungern machen.
 
Also alle Ports brauchst du auf keinen Fall aufzumachen. Schau dir ma die Manpage zu vsftpd.conf an, da steht eigentlich alles drin was du so brauchst.
Kurz für die Pasv-Ports aus meiner Config ;):
pasv_min_port=64202
pasv_max_port=64299
Wieviele du da machst bleibt fast dir überlassen, teste einfach ab wann du keine Disconnects mehr beim Hoch/Runterladen hast.
Zu dem eigentlichen Problem:
Hast du ma deine (x)inetd config überprüft welche IPs du auf den FTP drauflässt ?
 
Zurück
Oben Unten