PDA

Volledige versie bekijken : ftp server achter dlink router



Robain
3 november 2006, 19:05
Hallo,


Ik heb zonet bulletproof ftp server geinstalleerd. Ik heb TCP poorten 20 en 21 opengezet op mijn dlink router, en deze instellingen toegepast...

Wanneer ik nu echter porbeer verbinding te maken met mijn server krijg ik het volgende :

[R] Verbinden met 85.10.77.185 -> IP=85.10.77.185 PORT=21
[R] Verbonden met 85.10.77.185
[R] Verbinding mislukt (Verbinding weggevallen)


Verder had ik ook nog de vraag hoe ik mijn ftp server zo veilig mogelijk kan maken. Het is de bedoeling dat deze 24/7 blijft draaien en dus niet gehacked wordt...


Greetz

maatje
3 november 2006, 20:04
je moet verwijzen naar de computer waar den ftp server draait :)

want de router WEET niet op welke computer die FTP server gehost is dus den ip van die computer samen met die poort invoeren :)

Robain
3 november 2006, 20:32
je moet verwijzen naar de computer waar den ftp server draait :)

want de router WEET niet op welke computer die FTP server gehost is dus den ip van die computer samen met die poort invoeren :)


ik heb de poorten geforward voor het ip van de computer waarop de ftp service draait...

dat zou dus normaal in orde moeten zijn??

stewie4ever
4 november 2006, 18:01
ja ,maar veel ben je er niet denk ik want verandert telenet en belgacom je IP om de dag ofzo.
Dus als je een ftp opzet en je ip aan iemand anders geeft moet je toch elke keer een ander ip geve niet ?

Exit
4 november 2006, 18:15
ja ,maar veel ben je er niet denk ik want verandert telenet en belgacom je IP om de dag ofzo.
Dus als je een ftp opzet en je ip aan iemand anders geeft moet je toch elke keer een ander ip geve niet ?

telenet niet (als ge verbonden blijft)
adsl (de meeste) wel om de 36u
of ge gebruikt een dns progje zoals www.no-ip.com

Robain
4 november 2006, 18:56
werk idd met dyndns om dat probleem te omzeilen...

maar daarmee kan ik nog steeds niet op die server :( anyone an idea?

Exit
4 november 2006, 19:11
telenet? poort 21 veranderen naar 1024+

Robain
4 november 2006, 22:18
nee ik heb Euphynet ADSL, heb reeds andere poorten geprobeerd ook...

Mr. M
4 november 2006, 22:38
ik denk dat het probleem met een ftp server is dat ftp zeer veel poorten gebruikt (weet ni juist welke allemaal), maar ge hebt actieve en passieve ftp voor zover k weet

en tja, ik heb da ook ooit geprobeerd en k mocht forwarden wa k wou, op bepaalde plaatsen kreeg k gewoon geen listing

Robain
5 november 2006, 12:41
heb nu eens de firmware van mijn router geupdate, but still exactly the same :(

niemand die een idee heeft??

Exit
5 november 2006, 12:48
zet in de router eens die ftp server zijn ip op dmz zone en test dan, werkt dit dan ligt het inderdaad aan de router zijn firewall, anders ligt het aan de server zelf

Mr. M
5 november 2006, 14:55
jep dat zou normaal idd moete werken, maar of het zo veilig is, dat is natuurlijk een andere zaak :)

Robain
5 november 2006, 16:31
hmmm dit is raar, zet ik dit ip-adres in de DMZ dan lukt het nog steeds niet, precies de zelfde fout als in mijn openingspost...

zou er dan iets mis zijn met bulletproof ftp server??


EDIT.: Voor de duidelijk ook even mijn bulletproof ftp log :

5-11-2006 12:36:48 - FTP Server On-line : IP(s) 10.1.1.4, on port 21
(000002) 5-11-2006 12:38:29 - (not logged in) (204.11.33.42) > connected to ip : 10.1.1.4
(000002) 5-11-2006 12:38:29 - (not logged in) (204.11.33.42) > sending welcome message.
(000002) 5-11-2006 12:38:29 - (not logged in) (204.11.33.42) > 220 Robain - Media center server
(000002) 5-11-2006 12:38:29 - (not logged in) (204.11.33.42) > disconnected.

Dit krijg ik dus wanneer ik probeer te verbinden via het extern ip-adres...
Wanneer ik via het intern ip adres verbindt (10.1.1.1) gaat alles perfect...


Aja heb ook al eens de windows firewall afgezet maar dat doet niets...


Greetz

Mr. M
5 november 2006, 17:02
jep dat is juist hetzelfde als ik voorhad een paar jaar terug toen ik probeerde een ftp server op te zetten zodat ik op school aan mijn bestanden kon

heb ik ook nooit werkend gekregen, ik heb nu een SSH server draaien en dat gaat goed (via SFTP of SCP kan ik zo aan mijn bestanden + het is veiliger dan FTP, dus ik ben content :p)

ma ik heb dus niet direct een oplossing voor het prob spijtig genoeg :s
heb ook nooit goed gesnapt waarom het niet werkte

den Acid Burn
5 november 2006, 17:09
passive range instellen in uw ftp server, bv 6000-6050
in uw router die poorten forwarden naar het NAT adres van uw ftp server
zorgen dat uw ftp client verbinding maakt via passive mode.
dan zou het moeten werken.

feit is dat ftp + nat een bitch is.
ftp is hopeloos verouderd op dat gebied
ftp is ook totaal insecure.

daarom raad ik u sftp of scp aan via ssh

Robain
5 november 2006, 17:49
passive range instellen in uw ftp server, bv 6000-6050
in uw router die poorten forwarden naar het NAT adres van uw ftp server
zorgen dat uw ftp client verbinding maakt via passive mode.
dan zou het moeten werken.

feit is dat ftp + nat een bitch is.
ftp is hopeloos verouderd op dat gebied
ftp is ook totaal insecure.

daarom raad ik u sftp of scp aan via ssh

Passive heeft het inderdaad gefixed :) Thank you for that!!


Op welk gebied is ftp onveilig? Bedoel je dat de server makkellijk te hacken is? Of doel je op het feit dat bij ftp alles zichtbaar over het net verstuurd wordt??

Wat zou je dan aanraden als sftp server? Kan ik daar ook mee fxpen van anderere servers? Heb ik daar andere clients voor nodig??


Greetz, en aan iedereen thx voor de hulp en de replies!

Mr. M
5 november 2006, 18:03
ftp is onveilig omdat alles onversleuteld over het net wordt verstuurd
bij SFTP en SCP wordt alles via een geëncrypteerde "tunnel" over internet gestuurd waardoor al het verkeer niet gelezen kan worden door mensen die eventueel zitten "af te luisteren"

als ik mij niet vergis zit SFTP gewoon in elke SSH server automatisch in (ik gebruik cygwin hiervoor, maar dit is eigelijk een linux emulatie op windows, er zullen heel wsl wel gemakkelijke manieren zijn om een SSH server op te zetten)

ik weet dat bv filezilla SFTP kan, voor SCP (en SFTP gaat daar ook mee) gebruik ik WinSCP
ik veronderstel trouwens dat de meeste FTP clients ook wel SFTP kunnen eigelijk

nu ja, den Acid Burn zal wsl nog wel wat meer daar over kunne vertellen, ik ben uiteindelijk ook maar een leek op dit gebied ze :) (gebruik gewoon zeer weinig (S)FTP)

den Acid Burn
5 november 2006, 19:14
Zoals Mr. M zegt verstuurt FTP inderdaad alle pakketjes onversleuteld over het netwerk. (zelfs je paswoord)
dus iemand die je netwerk snifft kan ie gemakkelijk al je gegevens achterhalen.

een voorbeeldje:
ik heb ff met wireshark gesnifft terwijl ik connecteer naar een ftp server

Hier maak ik connectie met de server:

0030 16 d0 c7 b5 00 00 32 32 30 20 50 72 6f 46 54 50 ......22 0 ProFTP
0040 44 20 31 2e 33 2e 30 20 53 65 72 76 65 72 20 72 D 1.3.0 Server r
0050 65 61 64 79 2e 0d 0a eady...

ik geef mijn username in:

0020 96 3c 0b bd 00 15 f6 b3 ae c3 b3 48 24 67 50 18 .<...... ...H$gP.
0030 ff de ab de 00 00 55 53 45 52 20 6b 72 69 73 74 ......US ER krist
0040 6f 66 40 61 61 72 67 6c 2e 6e 6c 0d 0a of@somewhere.be..

de server vraagt nu achter mijn paswoord:

0030 16 d0 11 ad 00 00 33 33 31 20 50 61 73 73 77 6f ......33 1 Passwo
0040 72 64 20 72 65 71 75 69 72 65 64 20 66 6f 72 20 rd requi red for
0050 6b 72 69 73 74 6f 66 40 61 61 72 67 6c 2e 6e 6c kristof@ somewhere.be
0060 2e 0d 0a ...

ik geef dus mijn paswoord in:

0030 ff b1 ab d9 00 00 50 41 53 53 20 42 4c 31 24 24 ......PA SS geheim
0040 40 61 61 72 67 6c 0d 0a .....

ge ziet dat alles dus gewoon in clear text verzonden wordt.
als ge nu achter een switch of en router zit (de meeste routers fungeren intern gewoon als een switch) dan zijt ge normaal redelijk veilig omdat die pakketjes alleen naar uw mac adres doorgestuurd worden.
maar ze kunnen uw netwerk nog sniffen dmv man-in-the-middle attacks (mac address spoofing etc)

soit, veiliger is dus SFTP (Secure FTP) of SCP (Secure Copy protocol)
dat zit standaard in SSH.
ge kunt SSH runnen onder windows met behulp van Cygwin of CoLinux.
die programmas emuleren een GNU/Linux op je windows.

het ideale scenario zou natuurlijk zijn om een native GNU/Linux systeem (Debian bv) te maken met ssh, samba, nfs en wat ge maar wilt (nodig hebt)
dit zou de betere optie zijn als uw files toch 24/4 7/7 beschikbaar moeten zijn.

of als heel dat security gedoe u geen zak kan schelen gewoon uw ftp server blijven draaien onder windows zoals ge nu doet :)

Robain
5 november 2006, 21:52
Eerst en vooral, beiden bedankt voor de uitleg, we hebben weer wat bijgeleerd :)


Ik zal het bij ftp houden om de zeer simpele reden dat het eigenlijk niet echt gevoelige data is die op de server staat... Ik zou het helemaal niet erg vinden moest er iemand dat paswoord te weten komen.


Wat voor mij wel zeer belangrijk is is dat de rest van computer veilig is. Zou er iemand toegang kunnen krijgen tot de rest van mijn systeem doordat ik bulletproof ftp server gebruik?


Het is de bedoeling dat er in de toekomst een dedicated machine komt dat dienst zou doen als hardware firewall, ftp server, router en webserver. Wordt het een probleem om al deze functies tesamen te draaien op 1 pc?


Greetz

mobman
21 november 2006, 04:57
waarom serv-u ftp niet gebruiken en server instellen dat enkel ssl connecties toegelaten zijn?